Сергей Бочкарёв: «Наша компания была готова к росту количества проектов»
Промышленные объекты остаются мишенью для атак злоумышленников. Важность организации контролируемого доступа к АСУ ТП понимают на предприятиях различных отраслей. Об основных тенденциях в сегменте контроля привилегированных пользователей, направлениях развития продуктов и роли мер господдержки участников ИТ-рынка рассказал генеральный директор ООО «АйТи Бастион» Сергей Бочкарёв.
– Как события прошедшего года повлияли на развитие вашего бизнеса?
– В начале 2022 года значительно возрос интерес к нашему продукту СКДПУ НТ. Для некоторых заказчиков это было вызвано острой необходимостью, другие просто поняли, что доступ нужно контролировать и стали смотреть «в сторону PAM». Мы оперативно нарастили число специалистов, усилили техподдержку – в целом, за год штат «АйТи Бастион» увеличился более чем в два раза. Наша компания была готова к росту количества проектов. Зрелость решения СКДПУ НТ позволила удовлетворить требования заказчиков.
– Какие проекты в промышленности оказалось наиболее интересными?
– Интересно то, что количество проектов в промышленном сегменте за 2022-й выросло в два раза по сравнению с предыдущим годом. Наибольшее число «пилотов» также состоялось на сетях промышленных предприятий. Это красноречиво говорит о том, что в промышленности понимают важность организации контролируемого доступа к АСУ ТП.
Но хочу сказать, что значительно увеличилось количество проектов не только в промышленности, но и в других отраслях – в государственном секторе, нефтегазовом, в телекоме. Госсектор и нефтегазовый были и остаются драйверами импортозамещения.
– В каком направлении развивается рынок контроля привилегированных пользователей в России и мире? Как вы оцениваете коллаборацию с другими рынками, такими как антивирусный или инструментов контроля защищенности?
– Контроль привилегированных пользователей развивается сразу в нескольких направлениях. С одной стороны, производители – и мы в том числе – наращивают функциональность продуктов. Например, наш комплекс СКДПУ НТ не только управляет доступом, но и предоставляет возможности поведенческого анализа, мониторинга и централизованного поиска, настраиваемой отчетности.
С другой стороны, уже не первый год мы идем по пути технологических интеграций с лидерами рынка, производящими соседствующие с нами ИБ-решения. За прошлый год мы подтвердили технологическую совместимость СКДПУ НТ с решениями компаний «СайберЛимфа», «Доктор Веб», «С-Терра СиЭсПи», «Газинформсервис», «Аладдин» и др.
– Насколько повлияли на рынок промышленной ИБ меры поддержки отечественных производителей, которые были предложены правительством в прошедшем году?
– Указ Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» повлиял на рынок несомненно. Повысилась персональная ответственность владельцев бизнеса за допущение и устранение последствий инцидентов информационной безопасности. Стало понятно, что от кибербезопасности не отмахнуться, необходим анализ угроз для конкретного предприятия. Думаю, что выполнение требований указа повысит реальную безопасность в России, а не только «бумажную», а также поддержит отечественных производителей в сфере информационной безопасности.
Не могу не отметить работу Министерства цифрового развития, связи и массовых коммуникаций РФ в 2022 году. Благодаря поддержке правительства мы смогли сохранить и нарастить команду, не потеряли ни одного важного специалиста. Мы видим, что для Минцифры действительно важно сохранить и поддержать отрасль, за это мы благодарны.
– Какие события на рынке промышленного ИБ вы ожидаете в 2023 году?
– Последние лет пять промышленность входит в пятерку отраслей, наиболее активно атакуемых злоумышленниками. Не думаю, что что-то изменится в текущем году. Промышленные объекты остаются мишенью для атак, доступы в дарквебе будут продаваться ещё активнее. Это означает, что нам как разработчикам системы контроля доступа нужно будет развиваться и дальше.
Интересные кейсы, связанные с АСУ ТП, у компании «АйТи Бастион» уже есть. О некоторых из них мы расскажем на нашем круглом столе в рамках форума 15 марта, а также готовы тет-а-тет делиться информацией на нашем стенде.
Сергей Овчинников: «Мы видим увеличение спроса на российские решения»
Сложные решения для обеспечения информационной безопасности крупных предприятий, такие как системы оркестровки ИБ, автоматизации и реагирования на инциденты (Security Orchestration, Automation and Response – SOAR) или решения для управления безопасностью, рисками и соответствием законодательству (Security Governance, Risk Management and Compliance – SGRC), сложно разработать и внедрить быстро. К счастью, в России есть разработчики подобных комплектных систем, например, компания UDV group. Чтобы понять текущую ситуацию на этом рынке, мы задали несколько вопросов руководителю направления продуктового маркетинга Сергею Овчинникову.
— Какие решения, разработанные вашей компанией, оказались наиболее востребованы у промышленных предприятий в прошедшем году?
— В прошедшем году группа компаний UDV объединила под единым брендом известных экспертов-разработчиков в области кибербезопасности и информационных технологий – «СайберЛимфа», «КИТ» и «ФТ-СОФТ». Наиболее востребованным у заказчиков ожидаемо оказался DATAPK (в настоящее время UDV DATAPK Industrial Kit) – комплекс решений для мониторинга состояния защищенности и оперативного обнаружения инцидентов информационной безопасности в промышленных сетях. Клиенты отмечают функциональность решения, так как UDV DATAPK Industrial Kit не только обладает возможностями промышленной сертифицированной системы обнаружения вторжений, но и является инструментом инвентаризации защищаемых сетей, контролирует конфигурации узлов, управляет уязвимостями и т. д. Кроме того, наблюдается большой интерес заказчиков к UDV ePlat4m SOAR – это интегрированная платформа оркестрации средств защиты информации и автоматизации функций ИБ. UDV ePlat4m SOAR обогащает данные об инцидентах, делает предварительные оценки и обеспечивает автоматизированное реагирование на основные типы инцидентов компьютерной безопасности. По оценкам наших заказчиков, применение UDV ePlat4m SOAR позволяет уменьшить количество обрабатываемых «вручную» инцидентов примерно в 20 раз, а среднее время реагирования уменьшается с трех дней до 25 минут.
— Как на ваш бизнес повлияли ограничения, наложенные международными разработчиками ПО?
— Компании, входящие в группу UDV, работают на отечественном рынке средств обеспечения кибербезопасности, где применяются российские решения, в том числе прошедшие оценку соответствия требованиям регулятора в системе сертификации ФСТЭК России. Ограничения, наложенные международными (иностранными) разработчиками в прошлом году, касаются поддержки поставляемых в Россию решений, включая обновления и бюллетени по безопасности, устраняющие уязвимости в программных продуктах и прошивках устройств. В итоге мы видим увеличение спроса на российские решения в области обеспечения кибербезопасности предприятий.
— Как изменилась индустрия разработки программного обеспечения для промышленных предприятий в 2022 г.? Что вам пришлось поменять в своих бизнес-процессах?
— Очевидный тренд в разработке программного обеспечения, который начался еще до 2022 г., – это совершенствование процессов безопасной разработки и внедрение SDL (жизненного цикла безопасной разработки). Регуляторы тоже уделяют этому аспекту много внимания, в частности, совершенствуя процессы сертификационных испытаний. Для компаний UDV Group минувший год не стал в этом отношении каким-то особенным, так как процессам безопасной разработки мы всегда уделяли самое пристальное внимание, проводя статический и динамический анализ, включая фаззинг-тестирование.
— Насколько повлияли на рынок разработчиков ИТ-решений меры поддержки, предпринятые Правительством РФ в прошедшем году?
— Рынок разработчиков ИТ-решений достаточно разнородный. Одни сосредоточены только на так называемых коробочных программных продуктах, другие – разрабатывают аппаратно-программные решения или занимаются заказной разработкой. Сложности с поддержкой неминуемо возникают при погружении в детали, тем не менее, можно смело утверждать, что в целом меры поддержки, предпринятые Правительством РФ в прошлом году, оказали положительное влияние. Мы видим, что эти меры получают свое развитие на федеральном и региональном уровнях.
— В каком направлении, по вашим расчетам, будет развиваться рынок разработки ПО для промышленных предприятий в 2023 г.?
— На наш взгляд, на развитие рынка будут влиять следующие факторы. Во-первых, возросшее в 2022 г. количество атак на российскую критическую информационную инфраструктуру. Спрос на программные и аппаратно-программные решения, которые помогают обнаруживать и предотвращать вторжения, своевременно и качественно реагировать на инциденты, будет продолжать расти, в том числе в промышленном сегменте.
Во-вторых, в 2023 г. еще заметнее усилится тренд на импортозамещение. Если раньше кто-то из заказчиков откладывал такие проекты, а кто-то стремился все-таки воспользоваться покидающими рынок иностранными решениями, то в текущем году у заказчиков остается меньше возможностей для маневра. Необходимо будет не только выбрать новые для себя российские решения, но и интегрировать их с существующими системами, провести переобучение персонала, перестроить некоторые бизнес-процессы, решить вопросы с технической поддержкой по уже внедренным системам. Отдельно стоит упомянуть открытые решения, по многим из которых ранее оказывалась платная техническая поддержка. Заказчики вынуждены искать возможности по техподдержке таких систем у российских интеграторов либо переходить на совместимые российские решения. Одним из таких решений является сертифицированная система мониторинга ИТ-инфраструктуры UDV ITM, которая имеет полную совместимость с открытым решением Zabbix, дополняя существующие у заказчиков системы возможностью построения иерархической структуры сервисов мониторинга удаленных площадок и филиалов.
В-третьих, спрос на квалифицированные ИТ-кадры, в том числе в области разработки программного обеспечения, продолжает оставаться на высоком уровне. Трудности с наймом ИТ-специалистов испытывают как поставщики, так и потребители решений. Зарплаты специалистов высокие, поэтому заказчики разумно подходят к решению проблемы, применяя для разработки корпоративного программного обеспечения low-code платформы автоматизации деятельности. В условиях меняющихся бизнес-процессов этот подход позволяет существенно снизить затраты на разработку и существенно ускорить создание корпоративных сервисов. Low-code платформы не подходят для решения абсолютно всех задач современного промышленного предприятия, но в части автоматизации бизнес-процессов такие решения позволяют силами меньшего количества персонала и с более низкой его квалификацией разрабатывать качественное программное обеспечение. На российском рынке присутствует много производителей low-code платформ, включая UDV ePlat4m, отличительными чертами которой являются высокая адаптивность к существующим разнотипным источникам данных и удобство интерфейса пользователя. Мы сами применяем эту платформу для разработки части функциональности наших решений, таких как UDV ePalt4m SOAR и UDV ePlat4m SGRC, что позволяет легко адаптировать «коробочные» версии под текущие нужды заказчиков.
В-четвертых, нельзя не упомянуть технологический тренд, связанный с технологиями машинного обучения. Речь идет не только о нейронных сетях и глубоком обучении, которые за последние несколько лет стали гораздо доступнее, но и о других эффективных подходах, которые мы применяем в своей практике в рамках НИОКР в нашем Научно-исследовательском центре по кибербезопасности в сотрудничестве с вузами, а затем эти технологии интегрируются в новые или существующие продукты. Например, при разработке нашего флагманского решения для обеспечения кибербезопасности промышленных сетей UDV DATAPK Industrial Kit был использован метод многоагентного моделирования, который позволяет путем машинного обучения осуществлять автоматический реверс-инжиниринг закрытых промышленных протоколов. Эта запатентованная технология обеспечивает возможность мониторинга отклонений от эталонных моделей и обнаружения несанкционированных изменений в АСУ ТП.
Марина Сорокина: «Встроенная безопасность как тренд года»
Марина Сорокина, руководитель продуктового направления компании «ИнфоТеКС»
Интересной тенденций этого года стало появление проектов по защите IIoT-систем и защите интеллектуальных систем учета электроэнергии, реализованных с технологическими партнерами в концепции встроенной безопасности (security-by-design). У нас и ранее были запросы по этим тематикам, но подобные проекты велись не очень динамично.
Однако в 2022 году регуляторы и рынок стали требовать конкретные решения по обеспечению ИБ в промышленных системах. Поскольку классические наложенные средства защиты информации здесь не применимы, то функции безопасности разработчики устройств вынуждены реализовывать еще на этапе проектирования.
Прорывным проектом в этом направлении стало сотрудничество ИнфоТеКС и НТЦ «Нартис». В прошлом году компания НТЦ «Нартис» запустила процесс встраивания средств криптографической защиты информации в производимые ими коммуникационные шлюзы.
Коммуникационный шлюз CG-ZB-02 производства НТЦ «Нартис» стал первым на рынке компонентов интеллектуальных систем учета электрической энергии (ИСУЭ) с интегрированным средством криптографической защиты информации. Таким образом компания выполнила требования Постановления Правительства РФ № 890 «О порядке предоставления доступа к минимальному набору функций интеллектуальных систем учета электрической энергии (мощности)».
В качестве средства криптографической защиты информации (СКЗИ) для коммуникационных шлюзов НТЦ «Нартис» выбрал программно-аппаратный комплекс ViPNet SIES Core, разработанный компанией «ИнфоТеКС». Сегодня это единственный в России сертифицированный СКЗИ для встраивания в компоненты ИСУЭ на уровне УСПД. Данное средство криптографической защиты информации обладает возможностью эксплуатации вне контролируемой зоны.
Кроме того, выпускаемую компанией «ИнфоТеКС» линейку продуктов ViPNet SIES можно использовать для всех уровней ИСУЭ, что позволяет при создании защищенной системы избежать дополнительных сложностей интеграции и доработок.
Александр Познякевич: «Есть ли место XDR в промышленной сети»
Цифровизация отечественных предприятий набирает обороты, причем не только в офисном сегменте, но и в промышленной сети, где происходит операционная деятельность предприятия. Именно потому эти технологии называют операционными – ОТ, чтобы отличить их от классической офисной автоматизации. Однако безопасность операционных технологий часто страдает, поскольку нередко считается, что хакеры до них добраться не могут. Однако опыт показывает, что это не так. На тему обнаружения присутствия внешних злоумышленников в промышленных сегментах сети мы задали несколько вопросов руководителю направления по защите промышленных инфраструктур «Лаборатории Касперского» Александру Познякевичу.
– Что такое XDR и для чего он нужен компаниям?
– Хотя рынок решений класса XDR (от англ. Extended Detection and Response, «расширенные обнаружение и реагирование») находится в процессе становления, перспективы его применения – уже горячая тема в информационной безопасности. Четкого списка технологий, которые должны входить в XDR, на данный момент нет. Но речь идет об объединении данных, телеметрии и ключевых защитных решений в единую платформу для выявления киберинцидентов и реагирования на них. Это синхронизированные друг с другом средства защиты, системы мониторинга, обнаружения и реагирования на инциденты в промышленной сети, защищенные веб-шлюзы, EDR-решения и SIEM-системы, которые и являются объединяющим звеном, фактически мозгом комплексной системы ИБ. Такая платформа позволяет улучшить процесс анализа и принятия решений, сократить среднее время обнаружения инцидента и реагирования на него, сделать более эффективной работу отделов информационной безопасности. Многие разработчики средств защиты развивают свои продуктовые портфели в этой парадигме.
– Какое применение XDR находит в операционных технологиях (ОТ) и, в частности, в промышленных сетях?
– Одна из ключевых проблем в области безопасности OT-сред заключается в том, что промышленные организации, которые пытаются защитить свои операционные технологии, полагаются при поиске индикаторов атаки исключительно на данные сетевого трафика. В то же время многие сложные киберугрозы, особенно те, которые нацелены на конечные устройства, нельзя обнаружить с помощью только этих данных. И даже если в сетевом трафике будет выявлена подозрительная активность, необходимые меры реагирования, такие как реконфигурация системы, приняты не будут, поскольку это лишь источник данных. В XDR же входят технологии, которые в том числе предполагают активное реагирование на угрозу.
Ключевое преимущество XDR в вопросах безопасности OT-сред заключается в том, что такая платформа сочетает данные, получаемые как с уровня конечных узлов (посредством EDR агентов), так и из других источников – мониторинг сети, идентификационные данные, информация о фактах предоставления доступа к ресурсам. Все это дает последовательную картину того, что происходит в промышленной сети, на конечных узлах и в приложениях, и, как следствие, предоставляет возможность устранить угрозу до того, как она превратится в инцидент информационной безопасности.
– XDR – это только обнаружение угроз?
– Нет. XDR – это еще и аналитика. В дополнение к расширенному доступу к информации об угрозах из источников внутри OT-инфраструктуры XDR позволяет обращаться к регулярно обновляемым потокам данных об угрозах и аналитическим отчетам из внешних источников.
Ключевой источник данных по передовым угрозам – база данных MITRE ATT&CK. Это глобально доступный источник тактик, техник и процедур злоумышленников, основанный на наблюдениях из реального мира. База включает также специфические тактики и техники, используемые для атак на автоматизированные системы управления (АСУ). Описывается вся последовательность действий атакующих – начиная с того, как они получают начальный доступ, действуют в системе, закрепляются в ней, повышают свои привилегии, и заканчивая тем, какие способы они используют, чтобы избежать обнаружения, как перемещаются по сети, собирают информацию и контролируют устройства.
В целом XDR также дает возможность включать в средства контроля безопасности самые актуальные промышленные потоки данных об угрозах (Threat Intelligence) – актуальные для конкретных отраслей, регионов или даже отдельных предприятий.
– Как лучше всего внедрять XDR-подход в OT-среды?
– Чтобы реализовать преимущества XDR, нужно следовать определенным правилам. Должны быть предоставлены три главные функции: централизованный сбор данных об угрозах, анализ передовых угроз и интегрированное реагирование на них. В целом XDR-платформа для промышленного сегмента должна создаваться с учетом специфики ОТ-сред для каждой из этих функций.
Централизованный сбор данных должен предлагать следующие функции: извлечение данных из промышленных сетевых протоколов на уровне сети и узла; безопасный сбор событий и телеметрии с узла; получение данных с устаревших операционных систем (Windows/ Linux). Причем инструменты сбора данных не должны перегружать сеть и ресурсы узла, а сам процесс сбора данных должен быть легким в настройке и поддержке (в идеале не должна требоваться перезагрузка устройства). Следует отметить, что атрибуты промышленных активов и изменения в процессах и данных телеметрии – это важные источники данных для корреляции событий, поиска аномалий и корреляции с киберфизическими инцидентами.
Анализ продвинутых угроз должен строиться следующим образом: XDR-разработчики должны вносить обнаруженные угрозы в базу MITRE ATT&CK. Причем потоки данных об угрозах должны включать не только индикаторы компрометации (IoC), но и техники, тактики и процедуры из базы MITRE, включая сигналы о подозрительном поведении промышленных протоколов, подозрительную активность на промышленных устройствах (программно-логических контроллерах и удаленных терминалах).
Функция автоматизированного реагирования на угрозы должна использовать нативную интеграцию или интеграцию по API с решениями по ИБ и основываться на фреймворке RE&CT Framework.
– Почему промышленный XDR появляется только сейчас?
– Любой, кто предпринимал попытки интегрировать ИТ- и ОТ-сети, знает, что техники, которые используются в ИТ-инфраструктуре (например, автоматизированное сканирование сети), не эффективны в АСУ. Более того, они могут вызвать хаос в промышленных средах. В отношении некоторых узлов и оборудования может быть применен только пассивный мониторинг, специально разработанные для промышленного сегмента решения это учитывают и имеют возможность выполнения активного опроса только в отношении выбранного оборудования или сегмента сети. Поэтому эффективный промышленный XDR может быть выстроен только на основе базовых решений, разработанных для промышленности и с учетом специфики технологических процессов.
Предоставляя подробную информацию о статусе активов и конечных устройств, которую не дает сетевая телеметрия, XDR позволяет реагировать более точно и безопасно – принимать полуавтоматические или предварительно одобренные специалистами отдела АСУ меры, прежде чем автоматизировать их. Это позволяет значительно снизить риски, сократить потенциальные последствия киберугроз, кардинально повысить безопасность и устойчивость промышленных сред и обеспечить соответствие стандартам промышленной кибербезопасности.
– Каково место XDR (в частности, промышленного) в комплексной системе защиты современного цифровизированного предприятия?
– Ландшафт киберугроз постоянно меняется, и промышленная кибербезопасность сегодня гораздо шире, чем просто защита периметра. По предварительным данным Kaspersky ICSCERT, кибератакам в 2022 г. подверглось более 43% компьютеров АСУ, а основным источником киберугроз для промышленных предприятий остается Интернет. Несмотря на то что технологические сети стараются полностью изолировать от интернет-ресурсов и приложений, доступ к ним – неотъемлемая часть ИТ- и зачастую ОТ-сегмента. Опасность сегодня может прийти из любого узла сети. Это необходимо учитывать при разработке подхода к защите в промышленности, поэтому следующая ступень – всеобъемлющая защита всего предприятия от офисов до производственных площадок.
Современные экосистемные решения, разработанные специально для технологического сегмента, например Kaspersky OT CyberSecurity, органично и без потери производительности интегрируются с продуктами для корпоративного сегмента и позволяют полностью защитить всю инфраструктуру предприятий и минимизировать убытки, связанные с киберинцидентами. Это существенно экономит ресурсы команд ИБ и дает полную картину безопасности предприятия и эффективные инструменты аналитики и противодействия угрозам.
В основе нашей промышленной экосистемы лежит XDR-платформа Kaspersky Industrial Cyber Security, объединяющая два нативно интегрированных решения: для мониторинга сети – пассивный мониторинг сети с возможностью активного опроса и для защиты конечных промышленных узлов и рабочих станций – со встроенное функцией EDR.
Подробнее:
Александр Новожилов: «Невозможно отмахнуться от угроз АСУ ТП»
Сейчас в России как никогда раньше оказались востребованы системы контроля доступа и действий пользователей с привилегиями. Эти решения позволяют контролировать действия аутсорсингового персонала и контролировать работу удалённых сотрудников.
Чтобы выяснить главные тенденции использования систем контроля действий администраторов в промышленных системах, мы задали несколько вопросов Александру Новожилову, генеральному директору ООО «АйТи Бастион». Компания является разработчиком системы контроля действий поставщиков ИТ-услуг СКДПУ НТ, работает на рынке 8 лет и реализовала более 100 проектов, в том числе и в АСУ ТП критически важных объектов.
— Какие события прошедшего года, по вашему мнению, оказали наибольшее влияние на рынок средств защиты АСУ ТП?
— Проблематика защиты АСУ ТП вышла на новый уровень. Ее начали активно обсуждать главы государств. Также произошел ряд инцидентов, которые продемонстрировали всему миру реальные экономические и социальные последствия. Оказалось, что даже атаки на предприятия пищевой промышленности могут стать и становятся событиями, на которые обратил внимание весь мир. Сегодня невозможно отмахиваться от угроз, связанных с АСУ ТП.
— Насколько российским компаниям времен пандемии была близка тематика контроля действий пользователей? Появились ли новые применения для СКДПУ?
— Тематика контроля действий пользователей оказалась чрезвычайно актуальна. В связи с переводом на удаленный режим работы многие заказчики осуществили экстренную закупку решения. Зачастую мы шли им навстречу и предоставляли систему во временное пользование бесплатно. Конечно, крупные инсталляции проводились на фоне готовности заказчиков впоследствии приобретать решение.
— Какое влияние на развитие вашего сегмента рынка ИБ оказывает процесс импортозамещения?
— Не секрет, что изначально компания занималась реализацией в России импортного продукта. Но довольно быстро стало понятно, что необходимо локализовывать производство. Тогда мы приступили к разработке собственного продукта. Безусловно, ориентированность государства на импортозамещение придала ускорение этому процессу, что и привело нас к текущим результатам. Предпринятые Правительством РФ усилия позволили направить больше ресурсов на разработку. Наши продукты востребованы и за рубежом, однако геополитическая обстановка препятствует дальнейшему развитию экспорта.
— Какие технологии в защите АСУ ТП кажутся вам наиболее востребованными в течение ближайших двух лет?
— На мой взгляд, важным остается вопрос защиты от некорректных (в том числе преднамеренных) действий привилегированных пользователей. Этому есть несколько предпосылок. В связи с растущей международной напряженностью снижается доверие к услугам аутсорсеров, в первую очередь работающих с территорий иностранных государств. Компании могут оставаться лояльными своим заказчикам, но никто не застрахован от того, что сотрудник впадет в нестабильное психоэмоциональное состояние и начнет осуществлять личную «вендетту» исходя из собственных представлений о действительности. Впрочем, это касается и фрилансеров, и внутренних сотрудников компании. Вторая предпосылка – кадровый голод в ИТ. Необходимость контроля качества и дисциплины работы сотрудников повышается постоянно. Третья предпосылка – усиление влияние служб ИБ, что обусловливает увеличение количества конфликтов со службами ИТ. Средства быстрого и справедливого разрешения конфликтов становятся все более необходимыми.
— В каком направлении ваша компания будет развиваться в 2022 г.?
— Мы продолжим развивать нашу линейку продуктов. Если хватит ресурсов, обратим внимание на освобождающиеся ниши и не обязательно только в сфере защиты информации. Работы по импортозамещению предстоит много, есть достаточно тем, которыми сейчас стоит заняться.
«Интеграция функций ИБ – важное направление развития АСУ ТП»
За последнее время значительно изменилось отношение к вопросам обеспечения безопасности инфраструктуры и защиты информации. Владельцы промышленных и иных объектов, поставщики технологий, средств автоматизации заинтересованы в использовании инструментов и средств информационной безопасности. Среди предпосылок этого эксперты называют требования регуляторов, реализованные сценарии взломов АСУ ТП, а также перспективные направления развития технологий защиты в современных условиях. О тенденциях, доминирующих в данном сегменте, роли нормативных требований, решениях, доступных на российском рынке, рассказала руководитель направления индустриальных решений отдела развития продуктов компании «ИнфоТеКС» Марина Сорокина.
– Как за прошедший год изменился рынок средств защиты АСУ ТП по вашим оценкам?
– Рынок АСУ ТП за последние два года сделал качественный переход к осознанию необходимости обеспечения защиты информации. Сегодня уже не нужно убеждать владельцев инфраструктуры и производителей средств автоматизации внедрять средства информационной безопасности, они сами заинтересованы в этом. Наличие требований регуляторов, осознанность и реальные кейсы взломов АСУ ТП привели к повышенному спросу на средства защиты информации (СЗИ). При этом интересно отметить, что многие компании обращаются с запросами на СЗИ, которых на рынке ИБ АСУ ТП пока нет или практически нет. Точнее, СЗИ с необходимым функционалом есть, но в связи со специальными требованиями к среде эксплуатации или спецификой используемых технологий их использование в АСУ ТП невозможно. Сюда же можно отнести и запрос на защиту информации, например, для не IP-устройств, функционирующих на устаревших последовательных сетях или на современных LPWAN-каналах.
Требования по обеспечению ИБ интеллектуальных систем учета электроэнергии (ИСУЭ) в рамках Постановления Правительства РФ № 890 «О порядке предоставления доступа к минимальному набору функций ИСУЭ» привели к бурному развитию встраиваемых средств криптографической защиты информации (СКЗИ), в том числе и для применения в приборах учета. Эта тема стала драйвером как для роста количества вендоров, готовых разрабатывать такие СКЗИ, так и многих работ по оттачиванию практик по защите IIoT в России целом. По сути, ИСУЭ – это миллионы разбросанных по территории устройств, расположенных вне контролируемой зоны, частично использующих протоколы типа ZigBee, Lora, XNB, PLC и работающих без обслуживания свыше десяти лет. Это одновременно и вызов, и мощный двигатель для рынка ИБ АСУ ТП, так как решение данной задачи вынуждает всех участников, включая регуляторов, корректировать свои представления о работе СЗИ.
– В каком направлении развиваются технологии защиты АСУ ТП в России и мире?
– Общие тенденции связаны с движением АСУ ТП в сторону IIoT, это приводит к увеличению количества отдельно стоящих устройств и размыванию периметра. Кроме того, АСУ ТП начинают сильнее интегрироваться друг с другом и становятся базой для предоставления дополнительных сервисов или информации смежным системам. Набирают обороты цифровые модели, системы предиктивной аналитики.
Интересно, что интеграция функций ИБ и практики безопасной разработки – важное направление развития АСУ ТП. Многие мировые вендоры уже сертифицировали или в данный момент сертифицируют свою продукцию в соответствии с требованиями безопасности IEC 62443-4-1 и IEC 62443-4-2. В России еще мало таких прецедентов, но разработчики задумываются об этом.
– В чем особенность организации защищенного удаленного доступа для промышленных предприятий?
– Вопрос организации удаленного доступа к АСУ ТП до пандемии многими воспринимался негативно. Но два последних года «удаленки» показали, что эта задача актуальна, и во многих случаях доступ необходим, потому что это, прежде всего, экономически оправдано. Более того, во всех случаях удаленный доступ – это, по сути, подключение к сетям связи общего пользования объекта АСУ ТП. Методы обеспечения ИБ хорошо известны: защита периметра объекта и рабочего места, с которого осуществляется доступ, защита канала передачи данных и установка антивирусов и систем обнаружения вторжений.
– Насколько популярно использование криптографии в средствах защиты промышленных сетей? Какова специфика использования криптографии в системах реального времени?
– Криптография де-факто является стандартом для защиты любых сетей, в том числе промышленных. СКЗИ довольно широко применяются в АСУ ТП, особенно это касается систем, которые используют сети связи общего пользования. Помимо защиты каналов передачи данных криптография широко применяется и для дистанционной аутентификации.
Однако криптография – это не только шифрование. Для многих систем обеспечение целостности передаваемой информации и защита от навязывания ложных данных важнее обеспечения конфиденциальности. Для АСУ ТП целесообразнее использовать имитозащиту. Кроме того, важно правильно выбрать криптографический алгоритм, где жестко определены допустимые задержки при передаче данных, что особенно актуально для систем реального времени. Здесь ключевым параметром будет значение размера накладных расходов на передаваемую информацию: чем меньше – тем лучше. Для систем реального времени лучше использовать встраиваемые СКЗИ. В таком случае интеграция будет более глубокая, а нефункциональные характеристики не будут зависеть от внешней настройки.
Для промышленных предприятий у «ИнфоТеКС» есть линейка Industrial Security, включающая как наложенные, так и встраиваемые средства защиты информации.
Наложенные средства сегодня крайне востребованы, поэтому мы предлагаем индустриальные шлюзы безопасности ViPNet Coordinator IG. Их можно эксплуатировать в промышленной среде, они позволяют быстро построить эффективную систему информационной безопасности предприятия. Шлюзы используют технологию ViPNet VPN, которая обеспечивает безопасную передачу данных, а реализованный в ViPNet Coordinator IG межсетевой экран защищает объекты от несанкционированного доступа. Благодаря поддержке каналов Ethernet, GSM/UMTS/LTE, Wi-Fi, RS-232/RS485, шлюз безопасности позволяет реализовать большое количество сценариев безопасности, в том числе удовлетворяющих требования приказов ФСТЭК России № 239 от 25.12.2017, № 31 от 14.03.2014 и требования серии стандартов ГОСТ Р МЭК 62443.
Решение универсально и может быть использовано как для создания новых, так и для модернизации существующих систем АСУ ТП в различных отраслях промышленности: на объектах нефтегазотранспорта, нефтегазодобычи, нефтегазопереработки, а также химической, металлургической, атомной промышленностей, горнодобычи и переработки, в машиностроении и на прочих критически важных инфраструктурных объектах.
В качестве встраиваемого средства защиты мы предлагаем решение ViPNet SIES, позволяющее обеспечить защищенность устройств АСУ ТП «из коробки», реализуя концепцию secure by design. ViPNet SIES – полностью законченное и сертифицированное решение, которое подходит для защиты систем АСУ, IIoT, M2M, в том числе для защиты интеллектуальных систем учета электроэнергии.
Кроме того, встраивание компонентов решения ViPNet SIES позволяет выполнить требования ФЗ № 187-ФЗ, приказов ФСТЭК России № 235 от 21.12.2017, № 239 от 25.12.2017, № 31 от 14.03.2014.
– Есть ли в промышленных системах реального времени место для использования квантовой криптографии?
– Квантовые коммуникации – молодая отрасль, которая развивается стремительными темпами. Квантовая криптография в будущем может стать фундаментом системы информационной безопасности России. В перспективе технология квантового распределения ключей может быть использована и для защиты промышленных систем. Важно отметить, что реальных разработок квантового оборудования и примеров промышленной эксплуатации в России не так уж много.
В портфеле «ИнфоТеКС» есть квантовая криптографическая система, выполняющая протокол квантового распределения ключей и работающая в топологии «точка-точка» ViPNet Quandor и квантовая криптографическая система ViPNet QSS, работающая в топологии «звезда».
Система ViPNet Quandor успешно прошла ряд испытаний: в Санкт-Петербургском информационно-аналитическом центре, на сети связи между МГТС и ГВЦ ОАО «РЖД», а также на линиях связи, принадлежащих ПАО «Ростелеком». На основе ViPNet QSS была запущена университетская квантовая сеть.
– Какие решения ваша компания будет предлагать своим клиентам в 2022 году?
– В 2022 году мы представим новые продукты линейки ViPNet SIES. Во-первых, крипточип ViPNet SIES Core Nano – СКЗИ российского производства, реализованное по принципу System-on-a-Chip. Его компактный размер (3х3 мм) позволяет встраивать крипточип практически в любое конечное оборудование, в том числе в приборы учета электроэнергии.
Второй новый продукт – ПАК ViPNet SIES Core NR, выполненный в виде платы для встраивания. Решение подходит для использования в устройствах сбора и передачи данных на уровне информационно-вычислительного комплекса электроустановки – ИВКЭ.
Проверенные временем продукты – шлюзы ViPNet Coordinator IG – также получат развитие. В 2022 году выпустим еще три новых исполнения: два будут работать с технологией PoE, в третьем предусмотрена возможность подключения оптических каналов.
Николай Домуховский: «Сейчас все объекты КИИ РФ проходят испытание на прочность»
В сложившейся сегодня политической и экономической ситуации от работы служб информационной безопасности часто зависит работоспособность предприятий. Причем работать им приходится в достаточно жестких условиях различных ограничений и санкций. О текущем состоянии рынка ИБ-решений и сервисов, а также его будущем мы поговорили с заместителем генерального директора по научно-технической работе УЦСБ Николаем Домуховским.
— Что интересного произошло в прошедшем году на рынке средств защиты АСУ ТП в России и мире?
— В прошедшем году продолжались тренды, которые сформировались ранее, – безопасный удаленный доступ, импортозамещение, безопасность объектов КИИ. Однако более заметным стал курс на автоматизацию реагирования – SOAR, EDR (XDR) и пр. Это следствие, в частности, эпидемий шифровальщиков – оказалось, что иногда требуется очень быстрое реагирование, чтобы компания не понесла ощутимых потерь.
— Насколько успешно, по вашим оценкам, проходят проекты комплексной защиты отечественных промышленных предприятий? Каких средств автоматизации для ускорения этих проектов не хватает?
— Не думаю, что проблема именно в средствах автоматизации. Повышение сложности и увеличение сроков обусловлены скорее тем, что только при создании СБОКИИ подразделения ИТ, автоматизации, связи и безопасности впервые выстраивают тесную взаимную работу. Это существенно меняет привычные процессы. Кроме того, нередко требуется модернизация информационной или инженерной инфраструктуры, чтобы обеспечить корректное функционирование средств СБОКИИ, что требует больших временных ресурсов. Не стоит забывать и про бюджеты: создание такой масштабной системы – это значительные капитальные затраты, не всякое предприятие способно выделить их единовременно. Поэтому проекты разбиваются на отдельные очереди, и система строится поэтапно.
— Как, на ваш взгляд, можно защитить предприятие от атак через цепочку поставок?
— Для этого требуется активное участие самого разработчика или поставщика ПО. Что конкретно делать – достаточно подробно изложено в государственном стандарте по безопасной разработке ПО. Самое главное – не нужно забывать, что ответственность разработчика заканчивается не в момент выпуска нового релиза или обновления ПО, а в момент его успешной доставки потребителю.
— Как вы оцениваете уровень соответствия российских промышленных организаций требованиям закона №187-ФЗ? Что необходимо сделать для повышения качества защита?
— Практически все субъекты КИИ стараются выполнить требования закона №187-ФЗ. Но тех, кто уже создал систему безопасности объектов КИИ, пока не очень много – сложная система требует немало времени и средств на создание, не все могут реализовать подобный проект в сжатые сроки.
Сейчас все объекты КИИ РФ проходят испытание на прочность в рамках беспрецедентных атак со стороны различных группировок. Это заставляет многих задуматься об адекватности их модели угроз и средств, которые выделяются на обеспечение ИБ. Думаю, что в ближайшее время многие предприятия озаботятся повышением уровня защищенности их информационных систем.
— Как на процесс построения защиты на предприятиях промышленности влияет импортозамещение? Достаточно ли решений для своевременного перехода на российские средства защиты?
— Опять-таки, на этот вопрос мы получим ответ в ближайшее время, причем в жесткой форме. В целом, программных СЗИ отечественного производства достаточно, но с оборудованием дело обстоит гораздо хуже. Даже если не принимать в расчет потенциальные проблемы с производством отечественных процессоров, далеко не все отечественные программные СЗИ поддерживают работу на них.
— Что будет определять развитие рынка средств защиты АСУ ТП в течение ближайших двух лет?
— Конечно, текущая геополитическая ситуация. Необходимо усиливать импортозамещение, обеспечивать поддержку альтернативных (не x86) архитектур, чтобы иметь возможность использовать оборудование, созданное в азиатских странах. В целом на рынке оборудования (особенно чипов) сейчас много изменений – Intel и AMD уже далеко не монополисты, в этом направлении появилось множество стартапов, либо, наоборот, пришли зрелые компании (например, Alibaba group). Таким образом, альтернативные варианты есть.
— В каком направлении ваша компания будет развиваться в 2022 г.?
— Мы думаем, что в 2022-м будут очень востребованы услуги аудита ИБ, проведения пентестов, услуги SOC, создание или модернизация систем ИБ (не только объектов КИИ), а также услуги безопасной разработки ПО (DevSecOps). Наша компания предлагает все перечисленное – на этом мы и сконцентрируемся. Также предстоит пересмотр технической политики – в условиях новых ограничений часть оборудования и ПО станет недоступна, придется искать равнозначную замену.
Повысить безопасность без расширения штата
По мере цифровизации промышленности обязанности службы информационной безопасности (ИБ) существенно расширяются, поскольку увеличивается площадь атаки. Однако специалистов по защите промышленных объектов сейчас не очень много, поэтому компании вынуждены обходиться минимальными силами. Для этого необходимо повышать уровень автоматизации средств, находящихся в распоряжении службы ИБ. О возможностях интенсивного развития защиты мы поговорили с руководителем отдела технического сопровождения продаж компании InfoWatch ARMA Федором Владимировичем Трифоновым.
Вопрос: С помощью каких технологий, по вашему мнению, можно обеспечить защиту сложных объектов минимумом персонала служб ИБ?
Ответ: Если говорить про безопасность АСУ ТП, то сейчас на рынке следующая ситуация: большая часть компаний не планирует расширять штат сотрудников для защиты промышленных объектов по требованиям закона №187-ФЗ или собирается увеличить его незначительно. Как следствие на специалистов помимо задач, которые у них уже были – выдача прав, обновление антивирусного ПО, контроль подрядчиков, ложится еще ряд новых задач. Сначала это категорирование, потом составление организационно-распорядительной документации или контроль ее качества от исполнителя, интеграция СЗИ, затем ее эксплуатация. Вариантов качественного решения перечисленных задач всего два – либо создание выделенного подразделения, либо автоматизация этих процессов. Наша компания берет на себя задачу предоставить продукт, который будет автоматизировать деятельность специалиста по ИБ на протяжении всего жизненного цикла системы защиты информации. Мы создали систему продуктов, позволяющую категорировать объекты КИИ, создавать документы, обновлять их, настраивать продукты, контролировать политики, автоматизировать реакцию на инциденты и при этом сокращать их количество. Все это позволит сэкономить массу времени и денег промышленным компаниям и значительно повысить их безопасность без расширения штата.
Вопрос: Какие инструменты помогают проводить категорирование объектов КИИ? Насколько они востребованы у российских промышленных предприятий?
Ответ: Мы рекомендуем применять инструменты, которые позволяют проводить инвентаризацию сетевых активов в режиме реального времени, после чего использовать инструмент, способный сформировать пакет документов по объектам КИИ для отправки регулятору. Что касается востребованности, то у нас есть закон, который обязывает провести категорирование и построить системы безопасности. Самих инструментов на нашем рынке не так много, а вот спрос на них довольно большой, особенно со стороны крупных холдингов, в которых есть отдел, занимающийся категорированием объектов. В частности, наше решение позволило одной крупной компании, не прибегая к найму субподрядчиков, провести полноценное категорирование с первого раза, без ошибок в категории и всей документации в едином рабочем пространстве. Это дало возможность сэкономить бюджетные средства на информационную безопасность, которые впоследствии были потрачены на приобретение СЗИ.
Вопрос: Каковы основные тенденции развития рынка средств защиты АСУ ТП в России и мире? Какие технологии стали наиболее популярными в прошедший год?
Ответ: Мы видим спрос на комплексность решений: заказчики хотят строить моновендорную защиту в конкретном сегменте, поэтому приоритеты все-таки у экосистем одного производителя. В течение 2021 г. мы получали запросы на анализ кода ПЛК. На текущий момент мне неизвестно ни одного выпущенного продукта ни в России, ни за рубежом, который способен справиться с данной задачей. Никуда не исчезли и старые тенденции – защита от шифровальщиков и целенаправленных атак, автоматизация реагирования на инциденты, соответствие специфики ИБ АСУ ТП. Многие компании начинают заниматься сегментацией сети, уделять больше времени выбору сертифицированного решения по защите рабочих станций и серверов специалистов АСУ ТП.
Вопрос: С помощью каких инструментов можно обеспечить видимость сети? Насколько российским компаниям близка концепция Zero Trust?
Ответ: По моему мнению, сегодня в модель Джона Киндервага верят большинство российских компаний. Для специалиста в области информационной безопасности всегда важно сохранять данные в целостности и сохранности, и если для этого необходимо внедрять дополнительный функционал, то почему бы и нет? Что касается инструментов, то у разных компаний разный подход. Мы за счет своих межсетевых экранов прослушиваем трафик и видим коммуникацию внутри сети, благодаря нашим агентам понимаем, подключались ли какие-то внешние устройства к рабочим станциям, не даем возможности использовать программы, которые не нужны на рабочих станциях, тем самым создавая полноценную замкнутую среду. На мой взгляд, этого достаточно для того, чтобы обеспечить базовый уровень безопасности промышленного сегмента АСУ ТП.
Вопрос: Какие наиболее интересные проекты в области защиты АСУ ТП специалисты InfoWatch реализовали в прошедшем году?
Ответ: Если говорить об интересных исследованиях, то это анализ доступных из сети Интернет устройств АСУ ТП, которое было проведено при помощи поисковой системы Shodan. В рамках этого исследования мои коллеги установили огромное множество АСУ ТП, имеющих открытый доступ в Интернет. Проект всколыхнул большое количество обсуждений в сети, но важно то, что перед публикацией статьи вся информация была передана в НКЦКИ, который провел работы по оповещению владельцев АСУ ТП для устранения найденных проблем. Данный проект помог многим организациям узнать, где у них есть «болевые точки» и как их нужно закрыть. Результаты нашей работы были опубликованы, кроме того, был проведен вебинар.
Хотелось бы также отметить проекты в области защиты медицинских учреждений. Пандемия набирает обороты, ставятся очередные антирекорды по заболевшим, вследствие чего расширяется инфраструктура медучреждений, возрастает количество профильного оборудования. Совместно с несколькими компаниями мы выяснили, что аппараты МРТ, ИВЛ и пр. работают по «промышленным» протоколам. По результатам исследования был сделан вывод, что использование классических межсетевых экранов в этом случае неэффективно.
Игорь Душа: «Современный вендор по защите АСУ ТП должен использовать системный подход»
Игорь Душа: «Современный вендор, предлагающий решения ИБ АСУ ТП, должен быть в состоянии взять на себя автоматизацию работы по аналитике и написанию правил для выявления угроз и предоставить необходимые инструменты в системе, а не разрозненно. Только тогда заказчик сможет бесшовно строить цепочки событий, ведущих к инциденту, и проводить расследования автоматизированно».
Развитие продуктов защиты для OT-сетей традиционно происходит медленнее, чем для ИТ-сегмента, Мы поговорили с Игорем Душой, техническим директором InfoWatch ARMA, чтобы узнать его мнение о происходящих переменах на рынке ИБ АСУ ТП. Команда InfoWatch ARMA за предыдущий год часто выступала хедлайнером новостей про новинки для защиты промышленных сетей, продемонстрировала рынку сразу два новых продукта (для защиты на уровне рабочих станций и серверов и единый центр управления системой защиты), а также выпустила несколько обновлений ключевого продукта – промышленного межсетевого экрана нового поколения. С чем связан такой рост активности и как на него отреагировал рынок, читайте
– Что изменилось за прошедший год на рынке средств защиты АСУ ТП?
Какие тенденции наблюдаются в России?
– Прошлый год показал, что до сих пор у нас на рынке не было единой системы защиты информации, которая позволяла бы закрыть основные потребности в защите информации, управления событиями безопасности и реагирования на инциденты. В большинстве случаев на предприятиях существует зоопарк разрозненных продуктов, которые не функционируют как единая система. Мы приложили все усилия, чтобы не только проповедовать преимущества единого системного подхода к защите информации и управлению событиями и инцидентами безопасности, но и предоставить заказчикам такую систему для практического применения.
Кроме того, наблюдается кадровый голод в сфере ИБ в целом и в области ИБ АСУ ТП в частности. Отсюда спрос на решения, помогающие эффективнее использовать время сотрудников служб ИБ. Мы, например, предлагаем с помощью InfoWatch ARMA создавать замкнутую среду (что само по себе сокращает поток событий, который требуется обработать), а также использовать преимущества автоматизации управления событиями и инцидентами.
Возможность автоматически настраивать и передавать рекомендации по решению инцидентов сотрудникам внутри штата ИБ и диспетчерам АСУ ТП на производственной площадке позволяет быстрее локализовать кибератаку и предотвратить ее последствия.
– Как изменилось положение InfoWatch на рынке средств защиты АСУ ТП?
– В конце 2020 г. наша компания выпустила два новых продукта в дополнение к уже существующему промышленному межсетевому экрану нового поколения InfoWatch ARMA Industrial Firewall: средство для защиты рабочих станций и серверов (InfoWatch ARMA Industrial Endpoint) и систему централизованного управления системой защиты InfoWatch ARMA (InfoWatch ARMA Management Console). Мы презентовали рынку комплексную систему защиты АСУ ТП от кибератак, которая позволяет решать задачи не разрозненно, а использовать синергию от интегрированных между собой средств защиты.
На прошлый год приходятся и массовые внедрения промышленного межсетевого экрана нового поколения (InfoWatch ARMA Industrial Firewall).
– Какие наиболее интересные проекты в области защиты АСУ ТП специалисты InfoWatch реализовали в прошедшем году?
– В 2020 г. мы реализовывали крупные проекты в нефтегазовой сфере и электроэнергетике. Внедрением занимались партнеры-интеграторы, а наша компания оказывала техническую поддержку.
Большая часть проектов – это внедрение системы обнаружения и предотвращения вторжений (СОВ) для контроля сетевого трафика внутри АСУ ТП. Уже типовыми для нас стали проекты по установке промышленного межсетевого экрана на границе АСУ ТП, иногда с выделением DMZ. На 2021 г. запланированы более сложные проекты – с тесной интеграцией в саму АСУ ТП.
– Что изменилось в подходах к защите АСУ ТП?
– Одна из тенденций: рынок в России наконец принял концепцию микросегментации, т. е. применения межсетевого экрана внутри АСУ ТП. Такая реализация защиты допустима не для всех промышленных систем, но в отдельных случаях необходима. Сам термин пришел из-за рубежа, где данная концепция уже успешно реализуется.
Второе наблюдение: к заказчикам постепенно приходит понимание, почему нужны именно промышленные межсетевые экраны и что встроенная в них система предотвращения вторжений необходима для реализации виртуального патчинга. В промышленных системах зачастую остаются уязвимости, которые не закрываются по техническим причинам реальным патчем ПО. Именно межсетевой экран на границе является последним рубежом сетевой защиты. Только наличие системы СПВ позволяет предотвратить эксплуатацию уязвимости извне. Это и называется виртуальным патчем.
– Какие планы развития систем защиты АСУ ТП у InfoWatch на текущий год?
– Мы определили три основных направления: защита промышленной сети, защита конечных точек АСУ ТП, наблюдение и автоматизация деятельности АСУ ТП.
В 2021 г. планируем добавлять функции, связанные с автоматизацией деятельности отдела защиты информации, упрощением процесса обработки информации и расширением экспертизы, внедренной в нашу систему. Акцент делается на повышение удобства при внедрении. Для нас особенно важно дать пользователям единую систему, которая будет тесно интегрирована «из коробки».
Александр Новожилов: «В 2020 году проекты были масштабнее»
Прошедший год оказался переломным для большинства рынков. Одни компании понесли значительные потери, для других он стал весьма успешным. ИТ- и ИБ-рынки традиционно относят к «бенефициарам» удаленной работы. Чтобы выяснить реальное положение дел, мы задали несколько вопросов генеральному директору ООО «АйТи БАСТИОН» Александру Новожилову. Его компания разрабатывает решения для контроля дистанционной работы, т. е. фактически находится в эпицентре событий.
– Какие изменения произошли за год на рынке средств контроля привилегированных пользователей?
Прошедший год стал кризисным для многих отраслей экономики. Исходя из нашей аналитики, массовый перевод сотрудников на удаленный режим работы «подогрел» интерес к системе контроля действий ИТ-администраторов СКДПУ НТ со стороны крупных компаний. Кроме того, вынужденная массовая «удаленка» простимулировала расширение проектов у действующих заказчиков «АйТи Бастион». Наши данные показывают, что в 2020 г. проекты были более масштабными, чем годом ранее, а инвестиции в них более значительными. Это объективный показатель роста востребованности решения в целом и доверия заказчиков к нашему решению в частности.
В целом приходит осознание того, что основные риски безопасности в современном мире, когда периметры в той или иной степени построены у большинства заказчиков, связаны с деятельностью сотрудников, допущенных к ресурсам компании. Это могут быть инженеры интеграторов, производителей продуктивных систем, а также инсорсеры и аутсорсеры. Прогресс нельзя остановить, но можно вместе с ним развивать и свои подходы к задачам ИТ и ИБ.
– Как массовый переход на удаленную работу, по вашим оценкам, изменил российский рынок информационной безопасности?
Рынок изменился: у безопасников стало больше работы. При том, что количество самих безопасников, специалистов служб ИБ, не увеличилось. В некоторых компаниях в связи со сложным финансовым положением службы безопасности попали под сокращение. И это основной фактор риска для предприятий, в том числе для тех, у кого есть АСУ ТП.
Огромное количество рядовых сотрудников перешли на удаленную работу, а значит, фактически стали пользователями с правами администратора. Если ранее мы видели нашу «золотую десятку» пользователей с расширенными правами, и они были ограничены множеством барьеров корпоративной защиты, то сейчас все иначе. Теперь это список учетных записей, прошедших через корпоративные туннели в инфраструктуру, и набор событий для анализа, если, конечно, цель подключения «рабочая». Критически возросшее количество сессий, огромный объем данных, который ИБ-службам нужно обрабатывать, увеличение количества инцидентов, требующих расследования, – вот как выглядит сегодня ежедневная рутина служб ИБ. К тому же, как пишут СМИ, многие предприятия «вошли во вкус» удаленной работы и собираются оставить сотрудников на полной или частичной «удаленке». То есть в ближайшей перспективе снижения нагрузки на службы информационной безопасности ожидать не стоит.
Прибавьте к этому заявления, например из США, о планировании атак на ключевые информационные системы России. Если воспринимать эти заявления всерьез, то вряд ли стоит ожидать, что атаки будут направлены на сайты салонов красоты. Очевидно, что наибольший «эффект» может быть достигнут демонстративным или скрытым до поры перехватом контроля над сетями передачи данных, автоматизированными системами управления, финансовыми и прочими критически важными информационными системами.
– Какие новые решения и продукты «АйТи Бастион» предложил за прошедший год российским клиентам?
В 2020 г. наша компания сделала акцент не на разработке новых решений, а на совершенствовании уже существующих. Мы постоянно дорабатываем функционал системы контроля действий привилегированных пользователей СКДПУ НТ. Повышение функциональности продукта происходит, в частности, с помощью интеграций с другими решениями – лидерами рынка. Часто технологические партнерства рождаются с подачи конкретных заказчиков и в их интересах, таким образом, продукт развивается вместе с инфраструктурой и бизнесом компаний. В прошлом году прошла интеграция СКДПУ НТ с решением «Лаборатории Касперского» KICS. В начале 2021-го мы подписали соглашение о технологическом партнерстве с Positive Technologies. Сейчас в активной стадии проект по интеграции системы глубокого анализа технологического трафика PT Industrial Security Incident Manager с системой контроля доступа привилегированных пользователей СКДПУ НТ.
Кроме того, «АйТи Бастион» расширил функциональность своих продуктов с помощью отечественного решения многофакторной аутентификации Multifactor. В рамках системы контроля и безопасного доступа СКДПУ НТ решение компании «Мультифактор» будет интегрировано как дополнительный модуль по аутентификации пользователя при доступе к ИТ-инфраструктуре.
В 2020 г. начат процесс сертификации во ФСТЭК РФ безопасного шлюза стыка сетей «Синоним». Требования регулятора изменились, и документальное оформление сертификации заняло больше времени, чем планировали специалисты компании. Однако этот период был использован для тестирования «Синонима» на инфраструктурах заинтересованных заказчиков. Пилоты прошли успешно, заказчики ждут подтверждения сертификации.
– Много ли проектов за прошедший год ваша компания реализовала в части защиты АСУ ТП?
«Много» или «мало» – это субъективная оценка. Проекты в АСУ ТП разные по структуре и масштабам. Для нас важно, что не только корпоративный сектор доверяет нам в части защиты инфраструктуры, но и владельцы объектов АСУ ТП, которые более осторожно подходят к внедрению новых решений. Сейчас «АйТи Бастион» перешагнул первый десяток проектов на объектах АСУ ТП, и, по ощущениям, мы в самом начале пути.
– Какие новые технологии защиты, по вашему мнению, будет наиболее востребованы в 2021 г.?
Безусловно, мы увидим дальнейшее совершенствование систем мониторинга событий и состояния информационной безопасности. Идеи автоматизации процессов обеспечения безопасности давно витают в воздухе, и часть шагов в данном направлении сделана. Это весьма сложная тема, и самое сложное в ней – добиться доверия специалистов ИБ и, в не меньшей степени, ИТ к таким системам. Здесь есть ряд тонких моментов. Ключ к решению проблем – в «тактичном» подходе и максимальной взаимной интеграции систем. «Кусочные» решения со временем уйдут в прошлое.
Алексей Шанин: Мы ожидаем развития SOAR-решений
В 2020 г. рынок решений для обеспечения информационной безопасности промышленных объектов развивался в основном под воздействием двух факторов – реализация закона №187-ФЗ «О безопасности КИИ РФ» и пандемия COVID-19. О том, как они повлияли на бизнес российских производителей средств защиты АСУ ТП, рассказал Алексей Шанин, директор ООО «СайберЛимфа».
– Какие изменения произошли за минувший год на международном и российском рынках средств защиты промышленных объектов?
– Основным фактором трансформации рынка средств защиты промышленных объектов, безусловно, стала пандемия COVID-19, которая стала причиной массового перехода работников, в том числе промышленных предприятий, на удаленный режим работы. Организация удаленного доступа для персонала позволила злоумышленникам расширить ландшафт реализуемых угроз и сформировать новые вызовы для производителей средств защиты информации.
– Как на работе вашей компании сказался переход на удаленную работу?
«СайберЛимфа» – высокотехнологичная компания, имеющая распределенную структуру и широкую географию проектов. У нас есть обособленные подразделения в различных регионах страны, и сотрудники часто находятся в командировках. Рабочий процесс в нашей компании изначально был организован таким образом, чтобы сотрудники всегда имели доступ к нужной инфраструктуре из любой точки земного шара. Поэтому переход на удаленный режим не вызвал у нас никаких трудностей и был реализован на высоком уровне в кратчайшие сроки.
– Насколько ваши продукты полезны при построении защиты в соответствии с Федеральным законом № 187-ФЗ «О безопасности КИИ»?
– Данный закон является одним из наиболее важных драйверов развития продуктов компании «СайберЛимфа». В связи с этим функционал наших продуктов способствует реализации мер подзаконных актов закона № 187-ФЗ.
– Какие проекты по защите промышленных объектов, реализованные вашей компанией в прошедшем году, были, на ваш взгляд, наиболее интересны и показательны?
– Компания «СайберЛимфа» – производитель средств защиты. Наиболее интересный «проект» – CyberLympha Thymus, который в 2020 г. получил патент и начал функционировать в первых реализациях. CyberLympha Thymus распознает сетевой трафик без знания о том, какие протоколы в нем присутствуют.
– Что вы ожидаете в 2021 г. для российского рынка средств защиты промышленных информационных систем?
– Производители АСУ ТП должны сейчас отвечать требованиям Федерального закона № 187-ФЗ, его подзаконных актов, а также реализовывать функции безопасности с помощью встроенных средств либо с привлечением специализированных средств защиты информации. Как следствие, появится спрос на средства защиты промышленных информационных систем. Кроме того, мы ожидаем развития решений класса SOAR, которые направлены на реагирование и ликвидацию последствий, восстановление безопасного состояния АСУ ТП.
Владимир Карантаев:
«В реализации закона есть две болевые точки: оценки совместимости и соответствия»
Безопасность критически важных объектов сейчас определяется Федеральным законом №187 «О безопасности КИИ РФ». О современных тенденциях в области защиты АСУ ТП и промышленных информационных систем мы задали несколько вопросов Владимиру Карантаеву, руководителю отдела кибербезопасности АСУ ТП, руководителю «Лаборатории кибербезопасности» АСУ ТП компании «Ростелеком-Солар».
— Какие ключевые события в области защиты АСУ ТП произошли в России и мире за прошедший год? Какими тенденциями их можно объяснить?
— Одной из ключевых тем прошедшего года я бы назвал безопасную разработку, ее процессы и инструменты. Данная тема затрагивалась и на мировом уровне, и на российском. На мировом уровне была принята серия международных стандартов ISA/IEC 62443, три части которого переведены в России и получили статус ГОСТа. Остальные, к сожалению, так и не были гармонизированы и даже не попали в план по гармонизации. В то же время именно с новыми частями связаны основные изменения, которые происходили в 2019 г. и наблюдаются сейчас. Речь идет о частях 4.1 и 4.2 стандарта ISA/IEC 62443, определяющих требования к построению системы безопасной разработки у производителей средств АСУ ТП и затрагивающих системы промышленной автоматизации в целом – для всех отраслей. В 2019 г. этот стандарт стал одним из наиболее популярных по статистике выданных сертификатов на сайтах глобальных производителей систем АСУ ТП. Большинство из них сертифицировали свои производства на соответствие требованиям данного стандарта в части внедренных процессов безопасной разработки. В связи с этим мы как компания, занимающаяся вопросами защищенности АСУ ТП, надеемся увидеть, что в решениях производителей наметится положительная динамика выявления уязвимостей в прикладном и системном ПО, используемом в АСУ ТП. Конечная цель безопасной разработки – улучшить качество кода с точки зрения безопасности и качество архитектуры, что должно привести к повышению защищенности конечных решений.
В России начался аналогичный процесс внедрения методов безопасной разработки. В частности, в Техническом комитете №362 «Росстандарта», контролируемом ФСТЭК, создан подкомитет, который занимается безопасной разработкой. Несколько лет назад с его помощью был выпущен первый стандарт из серии ГОСТов по безопасной разработке, в настоящее время готовится целая серия документов по данной тематике. В отличие от мировых тенденций эти требования коснутся в первую очередь производителей средств защиты информации (СЗИ) всех типов. С учетом новых требований к доверию, выпущенных ФСТЭК России, требования по безопасной разработке становятся практически обязательными. Следующей «волной» эти требования дойдут и до разработчиков АСУ ТП, особенно тех, кто реализует в своих решениях встроенные механизмы безопасности. Такие производители уже есть, в том числе и российские. Некоторые из них находятся на стадии выбора партнера, который помог бы им построить процессы безопасной разработки, подсказал, какие инструменты могут быть интегрированы в среду разработки. Мы готовы выступить экспертным партнером в этой сфере – у нас есть статический анализатор кода appScreener, который уже тестируется, в частности, производителями решений АСУ ТП. Некоторые проекты по внедрению данного продукта находятся на финальной стадии принятия решения. Основной вопрос для российских производителей – требование ФСТЭК по переносу разработки продуктов для критических систем внутрь границ РФ.
— Как эти процессы влияют на разработчиков АСУ ТП? Что клиенты могут получить в результате?
— Мы системно развиваем партнерство с производителями средств АСУ ТП и СЗИ, как с глобальными, так и с российскими. Отслеживаем и изучаем, что делают разработчики решений в глобальном поле, и при выборе продуктов учитываем, в частности, реализацию требований по информационной безопасности с точки зрения лучших практик и нормативных требований. Мы обращаем внимание не только на выданные сертификаты, но и на функционал встроенных механизмов безопасности на уровне SCADA, контроллеров и полевых устройств. Для этого у нас и была создана «Лаборатория кибербезопасности», на базе которой мы либо сами разворачиваем инфраструктуру, либо делаем это на площадке партнера. Изучаем функционал не как сертификационная лаборатория, а как поставщик услуг, понимая, что комплексная система безопасности АСУ ТП – это комбинация механизмов наложенных СЗИ и встроенных в АСУ ТП. Это заложено и в нашу концепцию модели зрелости, в соответствии с которой четвертый уровень зрелости АСУ ТП в защищенном исполнении предусматривает эффективное совместное применение наложенных СЗИ и встроенных механизмов безопасности. И это не просто декларация, а результат исследования решений в рамках нашей лаборатории. Мы можем предложить заказчику решения разных уровней зрелости в зависимости от того, что ему нужно.
Наша компания может работать с несколькими вариантами построения комплексной системы защиты. Например, у клиента есть некоторая инсталлированная база АСУ ТП, которую, по понятным инвестиционным причинам, нецелесообразно или не подошло время менять. В этом случае руки у любого поставщика услуг будут связаны, поэтому приходится использовать в основном наложенные средства и механизмы безопасности. Где-то будем индивидуально настраивать механизмы безопасности для систем верхнего уровня. Но даже в этом случае мы должны быть уверены в том, что те продукты, которые входят в комплексное решение, действительно обладают тем функционалом, который подходит под ту концепцию и политику, которую мы стараемся сформировать. Наше кредо – в АСУ ТП должны функционировать только те процессы и информационные потоки, которые мы и заказчик понимаем. В системе не должно быть непонятных элементов. Чтобы реализовать эту политику, нужно понимать функционал и специфику использования каждого элемента системы.
— Какие еще темы в части безопасности АСУ ТП были популярны за прошедший год?
— Еще одной заметной и обсуждаемой мировой тенденцией является тема киберучений. Для России это пока новый вид деятельности, который, по моему мнению, будет набирать обороты и значимость. Тематике киберучений мы посвятили практически полтора года работы, провели несколько внутренних исследовательских работ, изучали, что делается в мире и с какими целями, пытались понять, что нужно предпринять нам. В мире достаточно давно примерно каждые два года проводятся киберучения разного масштаба и разной степени вовлечения ресурсов и сил, с периодичностью примерно. Наиболее известными мероприятиями такого рода являются учения, проводимые на нескольких площадках под эгидой NATO в так называемом центре передового опыта, который находится в Таллине. Кроме того, киберучения Locked Shields и Cyber Coalition также под эгидой NATO. Проводятся киберучения и под эгидой Евросоюза и его агентства ENISA, которое получило мандат на то, чтобы заниматься кибербезопасностью и отвечает за нее в масштабах всего Евросоюза. Именно на базе ENISA и при его активном участии проводятся киберучения, в которые вовлекаются страны Евросоюза.
В целом киберучения можно разделить на три вида (хотя есть разная классификация): штабные, гибридные и полнофункциональные. По большому счету, целей для проведения киберучения две – наступательные или оборонительные, хотя есть и комбинированные. Все киберучения объединяет то, что имеются какая-то легенда и программа, в ней фигурируют некоторые государства или группы государств, чаще всего с выдуманным названием. Есть ряд вводных, например, государство с нестабильным политическим режимом или дестабилизированное, либо государство, в котором что-то происходит с ключевой инфраструктурой или накануне выборов либо иного значимого для государства события. Сценарии могут быть самые разные – воздействие на отдельные элементы критической инфраструктуры или на систему автоматизации систем жизнеобеспечения и др. Понятно, что киберучения направлены на получение практических навыков. Если мы говорим о штабных киберучениях, то они, как правило, преследуют цели повышения общей осведомленности в вопросах кибербезопасности. Результатом могут стать более четкие формулировки целей защиты и формирование моделей угроз и нарушителей, для чего привлекается широкий круг экспертов и специалистов. Кроме того, в процессе обсуждения могут отрабатываться отраслевые сценарии защиты. Если говорить о гибридных и тем более полнофункциональных киберучениях, то фактически речь идет о том, что на созданной ИТ и АСУ ТП инфраструктуре осуществляется какое-то количество информационных воздействий. Одна или несколько команд атакуют, а другая группа команд находится на стороне защищающихся. Они занимаются детектированием воздействий нападающих и практической отработкой процессов реагирования.
Я проводил сравнение с существующими на производстве типами тренировок – противопожарной, противоаварийной, восстановительной. Все они необходимы для того, чтобы в случае нештатной ситуации реализовывались приобретенные навыки. То же самое должно быть и в кибербезопасности. Предположим, процессы реагирования на инциденты описаны, хотя далеко не у всех. Итак, инструкции по реагированию есть, и в компании осуществляется мониторинг ситуации. Из внутреннего или внешнего SOC эксперт получает сигнал о начавшейся атаке. Реагирование определяется минутами. В данном случае изучать инструкции по реагированию уже поздно. Сейчас мы пока находимся на стадии, когда комплексные системы безопасности – явление не массовое. Большинство заказчиков еще не достигли достаточной степени наблюдаемости состояния защищенности своей инфраструктуры, например, с использованием SOC. Но, когда мы к этому придем, на первый план выйдут практические навыки и четкий порядок действий. Когда горит, поздно договариваться, кто тащит шланг, кто багор, а кто лестницу. То же самое и с кибербезопасностью.
— Чем это отличается от CTF?
— CTF – близкое мероприятие, но чаще всего они имеют атакующую направленность. Кроме того, в них практически отсутствует отраслевая специфика. К тому же, конечный заказчик в CTF, как правило, не участвует – тренируются в реагировании в основном организаторы конкурса. В киберучениях одной из сторон является заинтересованный заказчик или целая группа. Например, в 2019 г. мы провели штабные киберучения исследовательского типа, в которые были вовлечены представители целого ряда органов исполнительной власти и компаний реального сектора экономики. Их было порядка десяти. Ценность учений была в том, что в них были вовлечены все стороны, заинтересованные в этом процессе, – регуляторы отрасли, производители СЗИ, владельцы ресурсов, которых регулируют. Процесс обсуждения всех сторон прошел с серьезным погружением в отраслевую специфику, что не присуще любому CTF, который проводится день-два. Мы изучали виды киберучений, затем проанализировали инструментарий и инфраструктуру, необходимые для качественного проведения киберучений.
В области организации киберучений Россия находится в роли догоняющего, поскольку в той же Северной Америке в лаборатории для проведения учений государство вкладывается уже на протяжении десятка лет, и бюджеты здесь весьма серьезные. Тем не менее, в рамках цифровой экономики есть раздел для создания цифрового киберполигона. В конце 2019 г. ПАО «Ростелеком» выиграл конкурс на создание национального киберполигона, и сейчас данный проект находится в стадии реализации. С одной стороны, это будет открытая площадка, в которую приглашаются заинтересованные отрасли. С другой стороны, на текущем этапе в нем будет реализована конкретная инфраструктура, максимально приближенная к реальной отраслевой. Первый этап – электроэнергетика. При построении полигона будут использованы реальные контроллеры и инфраструктурное оборудование, установленное на подстанциях, – комплексы, которые позволят осуществлять полунатурное моделирование. Было рассмотрено два варианта – моделирование предметной области на бумаге и полнонатурное, когда инфраструктура воссоздается полностью. Некое среднее состояние – полунатурное моделирование, когда есть что-то реальное и комплекс, выполняющий математическое моделирование. Полунатурное моделирование оптимально, на наш взгляд, по соотношению инвестиций с целями и задачами киберучений, которое позволит создаваемую инфраструктуру максимально приблизить к нуждам компаний, работающих в электроэнергетической отрасли. Это и генерация всех видов, и сетевые компании, и потребители. Любые специалисты, которые будут вовлечены в киберучения на базе полигона, безопасники и технологи, увидят свое «родное» оборудование и инфраструктуру. В этом ключевое отличие.
— Как производителям можно поучаствовать в этом процессе?
— Очень просто – выразить свою заинтересованность, а дальше мы обсудим. Сейчас формируется пул возможных поставщиков решений. Пока мы открыты и приглашаем в наш проект любых производителей АСУ ТП и СЗИ. Целевой аудиторией киберучений являются компании реального сектора экономики – субъекты энергетики, генерирующие и сетевые компании, ФОИВы, регуляторы. Все будет зависеть от плана киберучений. Вполне возможны объектовые киберучения либо учения в масштабах субъекта федерации или даже национальные. Мы уже проводили национальные штабные киберучения и получили успешный опыт, поэтому готовы сделать следующий шаг по мере того, как будет готова инфраструктура. Это позволит не только повысить осведомленность и приобрести определенные навыки, но и вывести диалог между безопасниками и технологами АСУ ТП на более высокий уровень. Мы осознанно в рамках штабных киберучений создали смешанные команды, представляющие разные компании и даже разные их блоки. В масштабе полного рабочего дня произошел процесс командообразования – восемь команд начали работать на получение конкретного результата. Из пяти предложенных сценариев сомнения у команд были только в одном, но, когда мы в качестве наблюдателей киберучений провели обсуждения внутри команд и между ними, по всем представленным сценариям было единодушное мнение – они вполне реалистичны.
— На каком этапе находится реализация требований Федерального закона №187 «О безопасности КИИ» в российской промышленности? Какие новые нормативные документы появились за прошедший год в этой сфере?
— Надеюсь, что названный закон не повторит путь закона №152 «О персональных данных» по уровню формального соблюдения. Законы принимались в разных политических ситуациях. Оба регулируют очень чувствительные, с точки зрения простого гражданина, моменты, и закон №187-ФЗ, как №152-ФЗ, затрагивает фактически всех. К сожалению, нередки примеры формального подхода к категорированию. Мы это наблюдаем, когда поднимаем вопросы необходимости защиты или оценки защищенности инфраструктуры. Мы готовы вместе с заказчиком разбираться с их инфраструктурой, обсуждать проблемы с главными инженерами и технологами, чтобы докопаться до сути – возможен ущерб от кибератак или нет. Для этого уже есть необходимый инструментарий. Существуют методы, которые используют метрологи на опасных производственных объектах для определения ущерба при создании АСУ ТП. Я говорю о HAZOP – в нем описаны подходы в соответствии с приказом №116 «О промышленной безопасности» «Ростехнадзора». На многих производствах, как ни странно, уже оценены риски от аварий. Но там нет инициирующего события в виде компьютерной атаки или инцидента в терминах закона №187-ФЗ. Необходимо к имеющимся инструментарию и процессам присовокупить тему ИБ и построить «мостик» к ней из существующих на предприятии оценок. В нашей практике мы примерно так и поступаем. В результате приходим к категорированию в цифрах на основе фактов. Как компания, обладающая определенной экспертизой, мы свое мнение высказываем, но по закону принятие окончательного решения и ответственность возложены на заказчика. Теоретически при реализации требований закона хотелось бы сконцентрироваться на вопросах оценки защищенности, потом – на разработке подходов к повышению защищенности, далее – на оценке рисков и последствий для клиентов, к чему нас закон и призывает. Но иногда мы слышим от заказчика – категории у нас нет, но защищать мы будем. Такое право у клиента есть, и это скорее положительная тенденция.
В реализации закона есть две болевые точки. Первая – оценка совместимости предлагаемых СЗИ в рамках комплексного решения построения киберзащищенных АСУ ТП. Вторая – оценка соответствия построенной системы по завершении проектов. Исходя из нормативной базы и оценка совместимости, и оценка соответствия как требования прописаны в приказе №239 ФСТЭК России. Но как поставщик комплексного решения мы должны быть уверены, что предлагаемые решения, продукты и подходы совместимы и гарантированно не влияют на конечную функцию АСУ ТП, с одной стороны, а с другой – обладают должным функционалом. На практике мы столкнулись с тем, что лабораторные либо полигонные испытания СЗИ, АСУ ТП или телемеханики могут привести к повышению технологического риска в проекте, расширению его объема и увеличению трудозатрат. С целью решения этой проблемы мы и создали лабораторию кибербезопасности, чтобы предложить заказчикам комплексный портфель решений, который состоит из продуктов разных производителей, но уже проверенных на совместимость друг с другом. Понятно, что это связано с серьезными инвестициями, и мы фокусируемся на определенных отраслях и производителях, популярных у российских заказчиков.
Если же этой деятельностью заниматься в проекте, то либо это будет формальный подход, чего хотелось бы избежать, либо предложение будет ограничено. С подобной ситуацией мы столкнулись при выборе поставщика сертифицированных межсетевых экранов по типу «Д», специализированных для применения с АСУ ТП. До недавнего времени поставщик таких экранов был один (теперь их два). Некоторое количество поставщиков из подготовленного нами списка достаточно быстро отсеялось, но даже тех, которые остались, мы были вынуждены вернуть из полигонных испытаний в стендовые, поскольку выяснили, что предварительно отобранные экраны выполняют не весь функционал, который от них ожидался. Кроме того, были выявлены ошибки в реализации средств телемеханики в протокольной части.
Проекты нормативных актов намекают на ужесточение требований, в частности, по обязательной сертификации СЗИ. Соответственно, нормы в виде оценки приемо-сдаточных испытаний если и будут работать, то скорее формально. Данный механизм требует проработки программ и методик, причем делать это надо превентивно. Соответствующих готовых решений пока нет. Если продукт имеет сертификат и обладает должным функционалом, то мы его среди прочих рассмотрим. Но по целому ряду продуктов сертификатов просто нет. Возникает дилемма – либо отказаться работать с соответствующей категорией рисков, либо заниматься защитой, но пойти по пути альтернативной формы проверки соответствия и доказывать регулятору, что все испытания СЗИ пройдены. Это зависит от качества методической проработки, и мы готовы идти по такому пути, а также заниматься аттестацией.
Как известно, в России сертифицируются продукты, а затем аттестуются системы, в то время как стандарт ISA/IEC 62443 часть 3 формирует требования к сертификации законченных программно-технических комплексов (ПТК) – это его отличительная черта. В Северной Америке глобальный производитель сертифицировал на соответствие этой части целиком ПТК для нефтегазовой отрасли. В комплекс вошли совокупность контроллеров распределенной системы управления, противоаварийной защиты, ИКТ-инфраструктура, которая их связывает, т. е. коммутаторы, и компоненты верхнего уровня – АРМ, серверы SCADA и др. Причем в ПТК вошли средства защиты информации как неотъемлемая составляющая. Этот комплекс прошел испытания на робастность и иные проверки, предусмотренные стандартом. В результате он сертифицирован как комплекс, но не на стадии создания у заказчика, а самим производителем. Может поставляться как типовое решение под совокупность установленных заказчиком требований – это прописано в стандарте. Например, в стандарте есть понятие уровня защищенности (Security Level), который задается исходя из уровня угроз и потенциала нарушителя. Когда заказчик проанализировал риски и сформировал модель угроз, он пришел к выводу, что ему противостоит нарушитель со средним потенциалом. Клиент выбирает соответствующий уровень защищенности, и, если ПТК сертифицирован под него, то ПТК можно брать как законченное решение. Схожая логика реализуется у нас в лаборатории, когда собирается и тестируется законченное решение. Мы исходим из логики повышения защищенности. Безусловно, такое решение стыкуется с категорией, но мы идем от оценки последствий, инициирующего события и формирования полноценной модели угроз. В этом смысле следуем логике стандарта, поскольку считаем ее правильной, несмотря на то, что в рамках регуляторного поля не можем заявить заказчику, что придерживаемся правил международного стандарта. Однако это не мешает использовать комплекс, если подобная процедура эффективна.
— Какой план обеспечения защиты вы можете порекомендовать для компаний, которые владеют АСУ ТП – значимыми объектами КИИ? Что им нужно предпринять в первую очередь для удовлетворения законодательных требований после прохождения процедуры категорирования?
— Любое регулирование имеет благую цель – обеспечить устойчивость и повышение безопасности критической информационной инфраструктуры. Все чаще мы имеем запрос от заказчиков оценить реальный уровень защищенности. От слов «сделайте нам методику или категорирование» они переходят к «оцените наш уровень защищенности». Мы предлагаем провести комплексный анализ защищенности АСУ ТП, в частности, делать пентесты, в том числе извне и внутри инфраструктуры. Это первый шаг. Некоторые заказчики, что еще более отрадно отметить, готовы к такой проверке на регулярной основе. Таких совсем мало, но они есть. Что дальше? Обеспечить формальное соответствие требованиям регулятора или повышать реальную защищенность?
Существует несколько сценариев, они могут быть реализованы и последовательно, и параллельно. Мы готовы подключать инфраструктуру заказчика на мониторинг защищенности АСУ ТП. С самого старта заказчик еще больше начинает понимать, что у него происходит с безопасностью АСУ ТП. Наша работа с заказчиком построена точечно – выделены технические эксперты и менеджеры, которые сопровождают заказчика и готовят регулярную отчетность. В этой отчетности выделяется раздел по безопасности корпоративного сегмента и АСУ ТП. Происходит переосмысление критичности инцидентов в АСУ ТП, т. е. индекс критичности инцидентов в корпоративном сегменте и АСУ ТП разный, что заставляет и заказчика на них по-другому посмотреть, и нас как поставщика сервисов. Заказчик понимает, что у него с защищенностью инфраструктуры, и мы переходим к следующему шагу – построению комплексной системы защиты.
Здесь нужно делать связку с нормативными требованиями, но идти от практики реальной защищенности. Далее необходимо использовать принцип разумной достаточности – понять реальную картину, выяснить, какие возникают инциденты, и начать реализовывать меры защиты в соответствии с реальными угрозами. Для этого следует определить логические границы технологического сегмента, поставить под контроль информационные потоки, обеспечить защиту верхнего уровня АСУ ТП и по мере возможности начать контролировать все более низкие ее слои. Для этого можно использовать более точную настройку правил безопасности или установку наложенных средств защиты.
Многие глобальные производители имеют хорошие руководства по точной настройке встроенных механизмов безопасности, и мы сейчас видим запрос рынке по реализации таких рекомендаций. Заказчики хотят потренироваться на инфраструктуре в нашей лаборатории, сделать предварительное упражнение по такой настройке и потом переносить их в свою инфраструктуру. Причем это не противоречит требованиям приказов ФСТЭК, поскольку приказ подразумевает адаптацию и расширение базового набора мер. При этом заказчик «из одного окна» получает все виды активности, хотя внутри у нас они расходятся по разным подразделениям. Результаты работы одного подразделения используются в другом, что и обеспечивает эффективную процедуру защиты инфраструктуры заказчика. Причем перед каждой процедурой проводить обследование не нужно – результаты первого сохраняются для всех дальнейших операций.
— Какое взаимодействие вы поддерживаете с производителями решений АСУ ТП?
— Последние полгода есть четкий посыл – импортозамещение. Что здесь ключевое — это не просто импортозамещайтесь, но представители Минпромторга обещают наличие рынка. Все время оговаривается, что российский рынок имеет определенный объем, но даже от этого российского рынка российские производители имеют очень малую долю. Например, в нефтегазе она составляет 10–12%. Если российские производители получат хотя бы большую долю российского рынка, то есть шанс получить хорошую прибыль и смогут развиваться смелее и больше вкладывать в разработку. Хотя это вопрос взаимного доверия. Основную задачу, которую нужно решить, – реализовать полный набор функционала АСУ ТП.
Российских поставщиков часто упрекают в том, что они отстают от мировых производителей. Но мы видим, что есть российские поставщики, которые несмотря ни на что вкладываются в разработку новых линеек и контроллеров разного назначения и применения, и программного обеспечения, и механизмов безопасности. Они изначально решают насущную проблему – доведение до определенного уровня зрелости основного функционала своих продуктов. Здесь все находятся в разной ситуации. Есть те, кто основную задачу решил и сейчас определяют следующий шаг для развития. Даже среди наших партнеров мы видим целый ряд российских производителей, которые находятся в точке выбора, – они осознали, что встроенная кибербезопасность может стать их конкурентным преимуществом. Они достигли стадии формирования требований к своим ПТК – не к отдельным компонентам, а к целому комплексу, созданному в киберзащищенном виде.
К сожалению, по старой российской привычке производители АСУ ТП считают, что они все сделают сами. Мне кажется, что это ошибка. Ни один российский производитель ни в одной сфере в одиночку не способен накопить потенциал глобального разработчика. Залог успеха – в кооперации, в экосистемном сотрудничестве и партнерстве. Мы пытаемся этот подход донести до наших партнеров, создаем собственную экосистему и приглашаем к сотрудничеству производителей АСУ ТП для совместного создания ПТК в киберзащищенном исполнении. Мировой опыт показывает, что даже глобальные производители идут в партнерства – в их продуктах много компонент третьих компаний, что и обеспечивает синергетический эффект. Если у заказчиков есть планы по модернизации или созданию новых агрегатов, то почему бы им сразу не формировать требования по реализации этих проектов исходя из концепции киберзащищенности? Кооперация возможна, необходимы обдуманные программы НИР и НИОКР для создания сложных систем. Примеры подобного технологического развития есть, и это наше будущее.
Александр Новожилов:
«Лекарство не должно быть хуже болезни»
Безопасность промышленных систем сейчас становится одним из важных аспектов концепции «Индустрия 4.0». О современных тенденциях на рынке промышленного ИБ мы задали несколько вопросов генеральному директору компании «АйТи Бастион» Александру Александровичу Новожилову.
– Что изменилось на рынке информационной безопасности России за прошедший год? Какие новые продукты и услуги ваша компания предложила рынку, чтобы соответствовать этим тенденциям?
– Мы не видим каких-то кардинальных изменений. Предлагаем заказчикам новые решения, а также занимаемся повышением эффективности уже закупленных решений с помощью интеграции, в том числе через наши продукты. Мы «завязали» на свой продукт очень много всего: шлюз безопасного подключения «Синоним», съемники контроля привилегированных пользователей, другие решения для промышленной безопасности. Наши решения становятся центром управления, который позволяет расширять функциональность и повышать эффективность тех продуктов, которые уже установлены на инфраструктуре заказчика или планируются к установке.
– Какие новые классы продуктов, предназначенных для защиты промышленных сегментов сети, появились за прошедший год в России? Насколько на их появление повлияли требования российских регуляторов?
– Не скажу, что появилось что-то совсем инновационное, то, чего раньше не было. Постепенно в сознание сотрудников ИБ-служб, которые занимаются промышленными системами, проникает понимание, что без современных решений далеко не уйдешь, – сети развязывать все равно нужно. Но разделять их, как это пытались делать раньше – «разрубая провод топором», не получается. Поэтому решения, предназначенные для защиты промышленных сегментов сети, все больше на слуху. Другое дело, что они разной эффективности. Решение СКДПУ НТ, которое предлагаем мы, максимально эффективно.
Интересная ситуация сложилась с «песочницами». Проверка всех файлов перед попаданием в системы с использованием большого количества разных движков в режиме реального времени актуальна. Но это не специфическая ситуация для промышленных производственных систем, а общий тренд рынка. Мы также планируем внедрить «песочницу» в ряде своих решений, используя две технологии – отечественную и европейскую. Западную готовы привозить такой, какая она есть, а дальше будем портировать ее в наши продукты.
– Какие особенности имеют средства контроля привилегированных пользователей, работающие в технологической сети? Насколько промышленные решения в этом сегменте популярны у российских пользователей?
– Все вендоры сталкиваются с тем, что в технологической сети очень важна работа в режиме реального времени. Если вдруг что-то оборвалось, это не должно превратиться в катастрофу. Разумным выглядит использование в технологических сетях решений, которые осуществляют логический разрыв соединения, а не физический. Часть решений работает на сетевом уровне, и при нарушении правил или выходе из строя они полностью разрывают всю сетевую активность. Соответственно не только пользователи отваливаются, останавливается и вся функциональная активность. Необходимо так выстраивать систему, чтобы в случае какого-то нарушения со стороны пользователя или выхода системы контроля из строя обрывалось только пользовательское соединение, а все технологические процессы продолжали работать. Это особенности технологических внедрений. Популярность решений с такой философией растет с каждым годом. Можно сказать, что это стало трендом. Такие системы практически обязательны к использованию в технологических сетях и на производстве. К этому же приходят сейчас операторы связи. Все больше заказчиков не считают подобные решения какой-то экзотикой, а понимают, что это обязательно нужно делать в той или иной мере, с той или иной скоростью.
– Какие особенности имеют системы управления средствами защиты, которые установлены в промышленной сети? Как сочетать управление ИБ для промышленных и офисных сегментов сети?
– Азбука безопасности в промышленном сегменте сети начинается с постулата «Не навреди!». Поэтому все системы управления должны в первую очередь соответствовать принципу, что лекарство не должно быть хуже болезни. Суть именно в этом. Логика работы системы должна опираться на тот факт, что, во-первых, если что-то разорвать, то может быть хуже, чем если бы не разорвали. Во-вторых, если что-то происходит и мы точно не знаем, что это плохо, то это может быть и не плохо. В промышленной сети есть очень простая особенность: если что-то произошло неправильное, возможно, так и было задумано. Кроме того, какие-то действия сами по себе абсолютно корректные, если их выполнить, например, 50 раз в секунду, становятся причиной отказа. И наоборот, в ряде ситуаций для нормализации работы системы необходимо выполнить ряд действий, априори считающихся некорректными. Нужно быть крайне осторожным и минимально вмешиваться в систему, когда ты выстраиваешь систему безопасности. Это основное правило, и оно актуально как для систем управления, так и для любых средств защиты.
Что касается сочетания управления для промышленных и офисных сегментов сети, то тут нужно искать точки соприкосновения и связывать их. Взаимодействие между корпоративной и промышленной сетями никуда не денется. Поэтому системы должны быть распределенные и интеллектуальные, например, как наш СКДПУ НТ. Данное решение может оценивать, как работают в корпоративной сети, как работают в промышленной сети, сравнивать эти действия и исходя из результатов этого анализа реагировать на обстановку.
Высоконагруженная распределенная система управления современной АЭС
Подольный Вадим Павлович — Заместитель генерального директора по системной интеграции и кибербезопасности
IIoT на АЭС
Физприбор предприятие производит весь комплекс оборудования, который необходим для обеспечения сопряжения всего огромного количества подсистем – это датчики, контроллеры низовой автоматики, платформы для построения контроллеров низовой автоматики и пр.
В современном исполнении контроллер – это просто промышленный сервер, у которого расширенное количество портов ввода-вывода для сопряжения оборудования со специальных подсистем. Это огромные шкафы — такие же, как серверные, только в них располагаются специальные контроллеры, которые обеспечивают вычисления, сбор, обработку, управление.
Мы разрабатываем программное обеспечение, которое устанавливается на эти контроллеры, на шлюзовое оборудование. Дальше также, как и везде, у нас есть ЦОДы, локальное облако, в котором происходит обсчет, обработка, принятие решения, прогнозирование и все, что необходимо для того, чтобы функционировал объект управления.
Следует отметить, что в наш век оборудование уменьшается, становится умнее. На многих элементах оборудования уже есть микропроцессоры – маленькие компьютеры, которые обеспечивают предварительную обработку, как это сейчас модно называть – граничные вычисления, которые производятся, чтобы не нагружать общую систему. Поэтому можно сказать, что современная АСУ ТП АЭС – это уже что-то типа индустриального интернета вещей.
Платформа, которая этим управляет – это платформа IoT, про которые многие слышали. Их сейчас немалое количество, наша – очень жестко привязана к реальному времени.
Поверх этого всего строятся механизмы сквозной верификации и валидации, чтобы обеспечить проверку совместимости и надежности. Туда же входит нагрузочное тестирование, регрессионное тестирование, модульное тестирование – все, что вы знаете. Только это делается вместе с железом, которое нами спроектировано и разработано, и ПО, которое работает с этим железом. Решаются вопросы кибербезопасности ( secure by design и т.д.).
На рисунке изображены процессорные модули, которые управляют контроллерами. Это 6-юнитовая платформа с шасси для размещения материнских плат, на которые мы производим поверхностный монтаж необходимого нам оборудования, в том числе процессоров. Сейчас у нас волна импортозамещения, мы стараемся поддерживать отечественные процессоры. Кто-то говорит, что в результате безопасность индустриальных систем повысится. Это действительно так, чуть позже объясню, почему.
Система безопасности
Любая АСУ ТП на АЭС резервируется в виде системы безопасности. Энергоблок АЭС рассчитан на то, что на него может упасть самолет. Система безопасности должна обеспечить аварийное расхолаживание реактора, для того чтобы вследствие остаточного тепловыделения, которое возникает из-за бета-распада, он не расплавился, как это произошло на АЭС Фукусима. Там не было системы безопасности, волной смыло резервные дизель-генераторы, и случилось то, что случилось. На наших АЭС такое невозможно, потому что там стоят наши системы безопасности.
Основа систем безопасности – это жесткая логика.
Фактически мы отлаживаем один или несколько алгоритмов управления, которые могут объединяться в функционально-групповой алгоритм, и всю эту историю распаиваем прямо на плату без микропроцессора, то есть получаем жесткую логику. Если когда-нибудь какой-то элемент оборудования нужно будет заменить, у него изменятся уставки или параметры, и потребуется внести изменения в алгоритм его работы – да, придется вынуть плату, на которой распаян алгоритм, и поставить новую. Но зато это безопасно – дорого, но безопасно.
Ниже пример троированной системы диверсной защиты, на которой выполняется алгоритм решения одной задачи системы безопасности в варианте исполнения два из трех. Бывают три из четырёх – это как RAID.
Технологическое разнообразие
Во-первых, важно использовать различные процессоры. Если мы делаем кроссплатформенную систему и общую систему набираем из модулей, работающих на различных процессорах, то в случае, если внутрь системы на каком-то из этапов жизненного цикла (проектирования, разработки, планово-предупредительного ремонта) попадет вредоносное программное обеспечение, то оно не поразит сразу все диверсное разнообразие техники.
Также есть количественное разнообразие. Вид полей со спутника хорошо отражает модель, когда мы максимально с точки зрения бюджета, пространства, возможности понимания и эксплуатации выращиваем разнообразные культуры, то, есть реализуем избыточность (redundancy), максимально копируя системы.
Ниже примерный алгоритм выбора решения на основе троированной системы диверсной защиты. Алгоритм считается правильным на основе двух из трех ответов. Мы считаем, что, если один из шкафов выйдет из строя, мы, во-первых, об этом узнаем, во-вторых, два остальных будут нормально работать. Таких шкафов на АЭС целые поля.
Про железо поговорили, перейдем к тому, что всем интереснее – к софту.
Программное обеспечение. Вершок и Корешок
Так выглядит система мониторинга как раз этих шкафов.
Система верхнего уровня (после низовой автоматики) обеспечивает надежный сбор, обработку, доставку информации оператору и другим интересующимся службам. Она должна прежде всего решать главную задачу – в момент пиковых нагрузок уметь все разруливать, поэтому в режиме нормальной эксплуатации система может быть загружена на 5-10%. Остальные мощности фактически работают вхолостую и предназначены для того, чтобы в случае нештатной ситуации все перегрузки мы смогли бы балансировать, распределять, обрабатывать.
Самый характерный пример – турбина. Она дает больше всего информации, и если начинает работать нестабильно, фактически случается DDoS, потому что вся информационная система забивается диагностической информацией с этой турбины. В случае, если QoS плохо отработает, могут возникнуть серьезные проблемы: оператор просто не увидит часть важной информации.
На самом деле все не так страшно. Оператор может проработать на физическом реактиметре 2 часа, но потерять при этом какое-то оборудование. Для того, чтобы этого не происходило, мы разрабатываем нашу новую программную платформу. Предыдущая версия сейчас обслуживает 15 энергоблоков, которые построены в России и за рубежом.
Программная платформа – это кроссплатформенная микросервисная архитектура, которая состоит из нескольких слоев:
- Слой данных –база данных реального времени. Она очень простая — что-то типа Key-value, но value может быть только double. Больше никаких объектов там не хранится, чтобы напрочь убрать возможность переполнения буфера, стека или чего-то еще.
- Отдельная база данных для хранения метаданных. Используем PostgreSQL и другие технологии, в принципе настраивается любая технология, потому что тут нет жесткого real time.
- Архивный слой. Это оперативный архив (примерно сутки) для обработки текущей информации и, например, отчетов.
- Долгосрочный архив.
- Аварийный архив – чёрный ящик, который будет использован, если произойдет авария и будет поврежден долгосрочный архив. В него записываются ключевые показатели, тревоги, факт квитирования тревог (квитирование означает, что оператор увидел тревогу и и что-то начинает делать).
- Логический слой, в котором находится язык выполнения сценариев. На нем основано вычислительное ядро, и после вычислительного ядра так же, как модуль, находится генератор отчетов. Ничего необычного: можно напечатать график, сделать запрос, посмотреть, как менялись параметры.
- Клиентский слой – узел, который позволяет разрабатывать клиентские сервисы на базе кода, содержит API.
Существует несколько вариантов клиентских узлов:
- Оптимизированный на запись. На нем разрабатываются драйвера устройств, но это не классический драйвер. Это программа, которая собирает информацию с контроллеров низовой автоматики, проводит предварительную обработку, парсит всю информацию и любые протоколы, по которым работает оборудование низовой автоматики, – OPC, HART, UART, Profibus.
- Оптимизированный на чтение – для построения пользовательских интерфейсов, обработчиков и всего, что идет дальше.
На основании этих узлов мы строим облако. Оно состоит из классических надежных серверов, которые управляются с помощью распространенных операционных систем. Мы используем в основном Linux, бывает QNX.
Облако нарезается на виртуальные машины, где-то запускаются контейнеры. В рамках контейнерной виртуализации запускаются различные типы узлов, которые по необходимости выполняют разные задачи. Например, можно раз в день запустить генератор отчетов, когда все необходимые отчетные материалы за день будут готовы, виртуальные машины будут выгружены, и система станет готова для решения других задач.
Свою систему мы назвали Вершок, а ядро системы Корешок – понятно, почему.
Имея достаточно мощные вычислительные ресурсы на шлюзовых контроллерах, мы подумали – а почему бы не использовать их мощности не только для предварительной обработки? Мы же можем превратить это облако и все пограничные узлы в туман, и нагружать эти мощности задачами, например, такими, как выявление погрешностей.
Иногда бывает так, что датчики приходится тарировать. Со временем показания плывут, мы знаем, по какому графику во времени они изменят свои показания, и вместо того, чтобы эти датчики менять, уточняем данные и делаем поправки – это называется тарировка датчиков.
Мы получили полноценную Fog-платформу. Да, она выполняет ограниченное количество задач в тумане, но мы будем потихонечку увеличивать их число и разгружать общее облако.
Кроме того, у нас есть вычислительное ядро. Мы подключаем язык сценариев, умеем работать с Lua, с Python (например, библиотекой PyPy), с JavaScript и TypeScript для решения задач с пользовательскими интерфейсами. Эти задачи мы можем одинаково хорошо выполнять как внутри облака, так и на граничных узлах. Каждый микросервис может запускаться на процессоре абсолютно любого объема памяти и любой мощности. Просто он будет обрабатывать тот объём информации, который возможно на текущих мощностях. Но система одинаково работает абсолютно на любом узле. Она же подходит для размещения на простых IoT устройствах.
Сейчас в эту платформу попадает информация из нескольких подсистем: уровня физической защиты, системы контроля управлением доступом, информация с видеокамер, данные пожарной безопасности, АСУ ТП, IT-инфраструктуры, события информационной безопасности.
На основе этих данных строится Behavior Analytics – поведенческая аналитика. Например, оператор не может быть залогинен, если камера не зафиксировала, что он прошел в операторскую. Или другой кейс: видим, что какой-то канал связи не работает, при этом фиксируем, что в этот момент времени изменилась температура стойки, была открыта дверца. Кто-то зашел, открыл дверцу, вытащил или задел кабель. Такого, конечно, быть не должно, но мониторить это все равно нужно. Необходимо описывать максимально большое количество кейсов, чтобы когда что-то вдруг случится, мы точно знали, что.
Выше примеры оборудования, на котором все это работает, и его параметры:
- Слева – обычный сервер Supermicro. Выбор пал на Supermicro, потому что с ним сразу доступны все возможности железа, возможно применение отечественного оборудования.
- Справа – контроллер, который выпускается на нашем заводе. Мы полностью доверяем ему и понимаем, что там происходит. На слайде он полностью загружен вычислительными модулями.
Наш контроллер работает с пассивным охлаждением, и с нашей точки зрения это намного надежнее, поэтому стараемся перевести максимальное количество задач на системы с пассивным охлаждением. Любой вентилятор в какой-то момент выйдет из строя, а срок службы АЭС – это 60 лет с возможностью продления до 80. Понятно, что за это время будут сделаны планово-предупредительные ремонты, оборудование будет заменено. Но если сейчас взять объект, который запускался в 90-х или в 80-х, то даже невозможно найти компьютер, чтобы запустить программное обеспечение, которое там работает. Поэтому все приходится переписывать и менять, в том числе алгоритмику.
Наши сервисы работают в режиме Multi-Master, нет единой точки отказа, все это кроссплатформенное. Узлы самоопределяются, можно делать Hot Swap, за счет чего можно добавлять и менять оборудование, и нет зависимости от выхода из строя одного или нескольких элементов.
Есть такое понятие, как деградация системы. До определенной степени оператор не должен замечать, что с системой что-то происходит не так: сгорел процессорный модуль, или пропало питание на сервере и он отключился; канал связи перегрузился, потому что не справляется система. Эти и подобные проблемы решается за счет резервирования всех компонентов и сети. Сейчас у нас работают топология «двойная звезда» и mesh. Если какой-то узел выходит из строя, то топология системы позволяет продолжить нормальную работу.
Это сравнения параметров Supermicro (сверху) и нашего контроллера (внизу), которые мы получаем по апдейтам на базе данных реального времени. Цифры 4 и 8 – это количество реплик, то есть база данных поддерживает актуальное состояние всех узлов в реальном масштабе времени – это multicast и real-time. В тестовой конфигурации примерно 10 млн тэгов, то есть источников изменения сигналов.
Supermicro показывает в среднем 7 M/c или 5 М/с, при увеличении числа реплик. Мы боремся, чтобы не терять мощность системы, с ростом числа узлов. К сожалению, когда возникает необходимость обработки уставок и других параметров, мы теряем скорость с увеличением количества узлов, но чем больше узлов, тем потери меньше.
На нашем контроллере (на Atom) параметры на целый порядок меньше.
Пользователю для построения тренда выводится набор тэгов. Ниже touch-ориентированный интерфейс для оператора, в котором он может выбрать параметры. На каждом клиентском узле есть копия базы данных. Разработчик клиентского приложения работает с локальной памятью и не думает о синхронизации данных по сети, просто делает Get, Set через API.
Разработка клиентского интерфейса АСУ ТП не сложнее, чем разработка сайта. Раньше мы боролись за real-time на клиенте, использовали C++, Qt. Сейчас мы от этого отказались и сделали все на Angular. Современные процессоры позволяют поддерживать надежность работы таких приложений. Веб уже достаточно надежен, хотя память, конечно, плывет.
Задача обеспечить работу приложения в течение года без перезапуска уже не актуальна. Все это упаковывается в Electron и фактически дает платформенную независимость, то есть возможность запускать интерфейс на планшетах и панелях.
Тревога
Тревога – это единственный динамический объект, который появляется в системе. После того, как система запускается, все дерево объектов фиксируется, удалить оттуда ничего нельзя. То есть модель CRUD не работает, можно только сделать пометку «mark as deleted». Если необходимо удалить тэг, он просто помечается и прячется от всех, но не удаляется, потому что операция delete сложная и может повредить состояние системы, ее целостность.
Тревога – это некий объект, который появляется, когда параметр сигнала от того или иного оборудования выходит за пределы уставок. Уставки – это нижняя и верхняя предупредительные границы значений: аварийные, критические, закритические и т.д. При попадании параметра в то или иное значение шкалы появляется соответствующая тревога.
Первый вопрос, который возникает, когда случается тревога, кому показывать сообщение о ней. Показывать тревогу двум операторам? Но наша система универсальная, операторов может быть больше. На АЭС “чуть-чуть” отличаются базы данных у турбиниста и у реакторщика, потому что оборудование разное. Понятно, конечно, если уровень сигнала вышел за рамки в реакторном отделении, то это увидит ведущий инженер управления реактором, в турбинном – турбиной.
Но представим, что операторов много. Тогда тревогу всем показывать нельзя. Или если ее кто-то берет под квитирование, ее нужно немедленно блокировать для квитирования на всех остальных узлах. Это real-time операция, и когда два оператора возьмутся квитировать одну и ту же тревогу, они тут же начнут управлять оборудованием и алгоритмами. Все это связано с сетевым многопоточным программированием и может привести к серьезным системным конфликтам. Поэтому любой динамический объект нужно показывать, давать возможность им управлять и “гасить” тревогу только одному оператору.
Более того, все тревоги друг от друга зависят. Какое-нибудь оборудование начинает “глючить” – тысяча тревог выскакивает. На самом деле, чтобы их все погасить, нужно найти только одну из них, ее квитировать, и тогда пропадает “дерево” остальных тревог. Это отдельная наука и мы как раз работаем над тем, как такие тревоги представлять. Единого мнения пока нет: либо дерево, либо прятать как вложенное. Сейчас модуль тревоги выглядит так, с вложенными данными.
Привожу примеры видеокадров, которые видит оператор, для общего представления.
- Слева вверху – реакторное отделение,
- слева внизу – видеокадр для ветропарка,
- справа внизу — график,
- cправа сверху – парогенераторы реакторного отделения.
Желтые ссылки – переходы на другие видеокадры.
У нас на заводе сделан стенд. Примерно так выглядят дашборды на панели, у оператора примерно то же самое.
Конфигурация системы
Мы предоставляем достаточно универсальный режим работы с базой данных.
Редактор, который позволяет создавать объекты, удалять их, задавать параметры, которые передаются в базу данных реального времени и базу метаданных.
Видеокадры – это элементы пользовательских интерфейсов, с которыми больше всего проблем. Каждый производитель SCADA/HMI пытается сделать свой редактор, а потом, когда увольняются разработчики, концов не найдешь – появляются баги, все падает, этим невозможно управлять. Нам это надоело, поэтому мы решили: «Делайте, на чем хотите! Хоть на Illustrator, хоть в Sketch – в любой программе, которая выдаст канонический SVG». Мы даём возможность открыть SVG и прицепить его к тегам БДРВ. Если примитивы в редакторе правильно называть, то больше ничего не нужно и все будет нормально работать сразу.
Создание пользовательского интерфейса в АСУ ТП или платформы выглядит не сложнее, чем создание сайта. Мы даем все необходимые API, чтобы это было так. Ни одна другая система, которая сейчас используется на подобных объектах, так не работает, везде есть свои сложные редакторы и убогие интерфейсы. Представляю, каково операторам, которые смотрят на них каждый день. Конечно, многие думают, что не так важно, как это выглядит, главное – безопасность. Но мы хотим, чтобы и выглядело это красиво, потому что, на наш взгляд, это важно.
Как везде, у нас есть система разграничения доступа. Мы поддерживаем несколько режимов, чтобы было надежно и дешево. Кроме контейнерной и обычной виртуализации мы даем возможность сделать Data Lake. Тогда все помещаются в одну большую оперативную память, а режим multitenancyобеспечивает возможность разделения доступа к элементам дерева (объектам, данным). Поэтому можно держать несколько проектов фактически на достаточно недорогом железе.
Также чем больше железа, тем дороже синхронизация и тем больше вероятность ошибки. Поэтому, если мы сможем на большем количестве узлов просто скопировать эту базу, даже в таком режиме, то совокупная надежность всей системы растет.
Более того, следует отметить один момент: в режиме реального времени и большого количества объектов в памяти мы не можем работать с кэшем процессора. Он превратился в тыкву, потому что когда нужно обеспечивать навигацию и поиск по 10 или 100 млн объектов, то кэша нет – всё руками.
Прогнозирование
Мы делаем прогнозную аналитику с помощью нейросетей, машинного обучения. Расскажу, как это работает и сколько стоит в деньгах.
Справа график изменения мощности реактора при движении органов регулирования системы управления защитой — стержней регулирования. Вообще реактор регулируется концентрацией борной кислоты в воде, но когда производятся маневры мощности, то используются стержни. Каждое движение стержней – это пережоги топлива, а топливо достаточно дорогое: загрузка современного реактора ВВЭР-1200 примерно 10 тонн диоксида урана.
График, который дает обратный ход показывает, как оператор управляет всем вручную, то есть изменяет параметры мощности, видит, что мощность чуть-чуть ниже, чем нужно, чуть прибавляет и т.д… Ориентируясь на обратную связь оператор в итоге доводит мощность до нужного уровня.
Мы же обучили нейронную сеть на предыдущих показаниях. Но просто нейросеть никогда точно не спрогнозирует физический процесс. В реакторе 5 физических процессов: нейтронная кинетика, гидродинамика, химия и радиохимия вследствие различных превращений, и физика прочности. Любой расчет выглядит как моделирование каждого этого технологического процесса.
В основном есть два метода:
- Монте-Карло для нейтронов и радиохимии (на CPU);
- Computational Fluid Dynamics (CFD) для всего остального (на GPU).
Эти методы чрезвычайно медленны, их невозможно использовать в система реального времени. Мы увеличили пространственно-временной шаг, а корректировку сделали на нейросетях, и получили достаточно серьезную оптимизацию (верхний график). Теперь нет необходимости в обратном ходе стержней.
По расчетным характеристикам оптимизация на отсутствие обратного хода позволит сэкономить до 60 млн долларов в год, за трехлетнюю топливную кампанию (это значит, каждый год треть топлива меняется). Это хорошая цифра для суммарного KPI сотрудников, которые работают на блоке.
Пульт управления
Обычный блочный пульт управления выглядит так.
Слева – Нововоронежская АЭС, справа – Калининская АЭС и модель.
Но мы пошли дальше. Блочный пульт управления – это очень дорогая история. Есть много разработчиков, которые производят и оборудование, и ПО, которое туда сводится – это десятки и сотни компаний. Мы сделали VR-операторскую, загрузили в нее нашу систему.
Надеваешь очки, и получаешь такую же картину, как и на блоке, только без щита. Раньше был БЩУ (блочный щит управления) — оператор шел, крутил какие-то штуки. Потом ему поставили компьютер, он в него смотрел, но все равно вставал к щиту и крутил. Потом мы сделали возможность управления с монитора — БПУ (блочный пульт управления), а теперь – ВПУ (виртуальный пульт управления), за которым будущее.
Хотя будущее, конечно, за блоком без операторов — за искусственным интеллектом. Оператор превратится в супервизора. Потом будет можно управлять всей станцией целиком из общего пульта управления. А потом операторская сможет находиться за пределами АЭС.
Уже сейчас реализуется такой проект ITER. Сама станция находится в городе Кадараш во Франции, а пульт управления – в Японии в городе Рокасё. Это сделано, чтобы отладить технологии, используется квантовая связь и квантовая криптография. Можно сказать, будущее уже здесь!
По материалам ресурса habr.com
Группа компаний МАСКОМ
Группа компаний МАСКОМ (ГК МАСКОМ) работает на российском рынке безопасности с 1991 года и является признанным отраслевым лидером. За 23 года ГК МАСКОМ приобрела огромный производственный опыт, расширила границы своего присутствия в регионах России, заслужила доверие заказчиков, положительные отзывы от партнеров и уважение коллег.
В основе деятельности Группы компаний МАСКОМ — стремление к развитию. Стремясь опережать тенденции рынка мы создаем новые технологии как в профильной, так и в смежных отраслях, реализуем их в своих продуктах и услугах, повышаем доступность через совершенствование территориально-распределенной структуры. Такой подход позволяет нам решать актуальные задачи в области безопасности и обеспечивает существенный вклад в развитие российских высоких технологий.
Оставаясь одним из лидеров российского рынка безопасности, ГК МАСКОМ мы нацелены на укрепление своих рыночных позиций, на расширение технологических, производственных и научно-технических компетенций на благо отрасли и своей страны.
Основные направления деятельности Группы компаний МАСКОМ:
- Строительство специальных объектов и объектов специальной связи;
- Создание комплексных систем безопасности;
- Создание систем информационной безопасности;
- Создание сетей связи и систем передачи данных, в том числе, в защищенном исполнении;
- Разработка и внедрение систем радиотехнической безопасности;
- Разработка специального программного обеспечения для сбора и обработки информации;
- Обучение и повышение квалификации специалистов в области безопасности.
В число подразделений, обеспечивающих реализацию научно-технического потенциала Группы компаний МАСКОМ, входят:
- Научно – технические отделы, ведущие фундаментальные и прикладные НИОКР в профильных областях, в том числе, в интересах всех ведущих регуляторов отрасли;
- Профильные конструкторские бюро, обеспечивающие разработку и подготовку к серийному производству продукции различного назначения;
- Проектные бюро, выполняющие проектирование в сфере строительства специальных объектов;
- Испытательные лаборатории, выполняющие сертификационные испытания продукции на соответствие требованиям сертификации ФСБ России и ФСТЭК России;
- Профильный специализированный центр по разработке специального программного обеспечения;
- Специализированные удостоверяющие центры, предоставляющие полный комплекс услуг по обеспечению защищенного документооборота с использованием электронной подписи.
Наиболее крупные центры компетенций ГК МАСКОМ располагаются в Центральном и Дальневосточном федеральных округах.
В настоящий момент Группа компаний активно наращивает свои компетенции. Сегодня в составе группы следующие предприятия:
- Центр безопасности информации МАСКОМ (г. Москва),
- МК-Спецмонтаж (г. Москва),
- Учебный центр МАСКОМ (г. Москва),
- Компания М Софт (г. Москва),
- Холдинг МАСКОМ Восток (г.г. Хабаровск, Владивосток, Благовещенск),
- Филиал МАСКОМ в г. Новосибирск,
- Филиал МАСКОМ в республике Крым.
Общая численность сотрудников – более 600 человек.
Группа компаний МАСКОМ имеет все необходимые разрешительные документы для производства работ, в том числе, лицензии ФСБ России, ФСТЭК России, Министерства обороны РФ, СВР России, МЧС России, Минэнерго России. ГК МАСКОМ реализует мероприятия СРО.
Наличие производственного персонала, допущенного к работе с информацией, составляющей государственную тайну, позволяет выполнять объектовые работы с внедрением инженерно-технических средств охраны, строительством защищенной телекоммуникационной и ИТ-инфраструктуры, а также внедрением методов радиотехнической безопасности на режимных объектах.
Многолетний опыт в реализации крупных сложных проектов является базой для сформированной на предприятиях группы компаний единой методологии решения задач, основанной на комплексном подходе к безопасности и позволяющий поддерживать высокие стандарты качества выполнения работ.
Положительные заключения компетентных органов, регуляторов и благодарность Заказчиков — лучшие показатели качества реализованных проектов и внедренных решений.
УЦСБ
Информация о компании:
ООО «УЦСБ» – Уральский центр систем безопасности – межрегиональная специализированная компания. УЦСБ оказывает услуги в области проектирования, внедрения и сервисной поддержки решений по обеспечению информационной безопасности современных информационных систем, инженерно-технических систем охраны, промышленных автоматизированных систем управления технологическими процессами, центров обработки данных и корпоративных сетей.
УЦСБ активно развивает направление по безопасности промышленных систем автоматизации и управления. Наши сотрудники обладают высокой квалификацией и обширным опытом в создании и обслуживании комплексных систем безопасности крупных предприятий: ОАО «Газпром», ОАО «Газпром нефть», ОАО «Холдинг МРСК», ОАО «УГМК», ОАО «Ростелеком».
В штате УЦСБ – более 200 аудиторов, аналитиков и инженеров, имеющих подтвержденную квалификацию в области информационных технологий и безопасности.
УЦСБ использует передовые и инновационные решения мировых и отечественных производителей оборудования для построения комплексных систем безопасности промышленных систем автоматизации и управления.
Лаборатория Касперского
Информация о компании:
«Лаборатория Касперского» – одна из наиболее динамично развивающихся компаний в сфере информационной безопасностиi. Компания была основана в 1997 году, и сегодня это международная группа, которая осуществляет свою деятельность более чем в 200 странах и территориях мира. «Лаборатория Касперского» имеет локальные представительства в 30 странах на 5 континентах. Среди ее корпоративных клиентов более 250 тысяч компаний по всему миру: от небольших предприятий до крупных государственных и коммерческих организаций. Продукты и технологии «Лаборатории Касперского» защищают более 300 миллионов пользователей во всем мире.
Станкоинформзащита
Информация о компании:
Закрытое акционерное общество «Научно-технический центр «Станкоинформзащита» образовано в мае 2009 г. Основным направлением деятельности организации является разработка средств защиты информации технологических объектов, в том числе, содержащих сведения, составляющие государственную тайну.
НТЦ «Станкоинформзащита» осуществляет свою деятельность на основе лицензии ФСБ на право осуществления работ, связанных с использованием сведений, составляющих гостайну, лицензии МО РФ на право проведения работ, подлежащих сертификации в системе сертификации Министерства обороны Российской Федерации по требованиям безопасности информации, и лицензии ФСТЭК России на право осуществления работ в области защиты информации, связанных с созданием средств защиты информации.
Доктор Веб
Информация о компании:
«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года. Компания — ключевой игрок на российском рынке программных средств обеспечения базовой потребности бизнеса — безопасности информации. «Доктор Веб» — один из немногих антивирусных вендоров в мире, владеющих собственными уникальными технологиями детектирования и лечения вредоносных программ. Антивирусная защита Dr.Web позволяет информационным системам клиентов эффективно противостоять любым, даже неизвестным угрозам.
«Доктор Веб» стал первой компанией, предложившей на российском рынке инновационную модель использования антивируса в качестве услуги, и по сей день продолжает оставаться безусловным лидером российского рынка интернет-сервисов безопасности для поставщиков ИT-услуг. Кроме того, в 2010 году «Доктор Веб» первым из антивирусных вендоров предложил универсальные лицензии для защиты как компьютеров и ноутбуков, так и мобильных устройств на базе Android, Symbian OS и Windows Mobile. Государственные сертификаты и награды, а также география пользователей Dr.Web свидетельствуют о высоком качестве продуктов, созданных талантливыми российскими программистами.
ФСТЭК России
Интервью с начальником управления ФСТЭК России Лютиковым В.С.
— Каковы, на ваш взгляд, причины обострения интереса к вопросам защиты АСУ ТП в последнее время? Почему именно теперь этой теме стало уделяться особое внимание на государственном уровне?
— Актуальность темы обусловлена, с одной стороны, широким внедрением информационных, в том числе интернет-технологий, в системы управления технологическими процессами, а с другой – повышением интереса злоумышленников к такого рода системам. Кто эти злоумышленники? Это могут быть и частные лица, действующие из «спортивного интереса», и иностранные государства, пытающиеся прощупать состояние систем безопасности критически важных объектов, и преступные сообщества. Но в любом случае последствия постороннего вмешательства в работу АСУ ТП могут быть самые плачевные, вплоть до серьезного ущерба экономике страны и гибели людей.
В СМИ широко освещались инциденты, связанные с появлением червя Stuxnet и его «собратьев» (Duqu, Flame, Gauss). Такие инциденты дают основание всерьез говорить об угрозе кибервойн. Некоторые государства рассматривают информационное пространство как особое поле боя (наряду с другими полями – воздухом, землей, водой, космосом), в ряде стран создаются кибервойска. Это не может не вызывать озабоченность.
— В чем состоит специфика задач защиты АСУ ТП? Чем она обусловлена?
— Особенность систем управления технологическими процессами – это, во многих случаях, их специфичность для управляемого объекта или процесса. Вторая особенность в том, что такие системы, как правило, работают в режиме реального или близком к реальному времени. Даже незначительный сбой в системе может привести к лавинообразному нарушению работы объекта. Решить задачу защиты системы реального времени на этапе эксплуатации очень трудно, практически невозможно. Поэтому система защиты должна внедряться в систему управления на этапе создания.
Еще одна особенность – применяемые технические средства и информационные технологии. Это средства и технологии промышленного класса с длительными сроками службы. Обновления для них, устранения ошибок, новые версии выходят редко (сравнительно с общедоступными технологиями).
Наконец, большинство систем управления поставляются иностранными производителями. Регламенты сервисного обслуживания и ремонта систем определяются производителями (поставщиками) этих систем управления. Нередко поставщик требует наличия канала удаленного управления системой. И подчас организация, эксплуатирующая АСУ ТП, даже не знает, какие действия в системе выполняет иностранный поставщик. Некоторые производители, осуществляющие сервисное (гарантийное) обслуживание, работают с выездом на объект, но при этом не дают специалистам заказчика доступа к своему оборудованию и ПО. Конечно, это негативно сказывается на состоянии защищенности систем управления.
— Кто, с вашей точки зрения, должен отвечать за безопасность АСУ ТП критически важных объектов? Это, в первую очередь, государство в лице уполномоченных органов, или сами владельцы объектов?
— Мы считаем, что заниматься вопросами обеспечения безопасности критически важных объектов должны все, и каждый – на своем участке. Есть уполномоченные федеральные органы исполнительной власти, такие как ФСБ России и ФСТЭК России, они разрабатывают общие требования и общие подходы к обеспечению безопасности АСУ ТП, организуют и проводят в соответствии с законодательством контроль защищенности систем управления. Есть отраслевые регуляторы – министерства и другие профильные государственные организации. Их задача конкретизировать и адаптировать общие требования с учетом отраслевой специфики. Важную роль в выработке отраслевых рекомендаций играют и крупные корпорации, такие, например, как «Газпром» или «Русгидро». У этих организаций создан значительный задел в разработке корпоративный стандартов и политики безопасности АСУ ТП. А дело конкретных субъектов – выполнять эти рекомендации.
— По вашим наблюдениям, признается ли актуальность вопроса защиты АСУ ТП руководителями предприятий?
— Ситуация меняется со временем. Сейчас руководители начинают уделять все больше внимания вопросам защиты АСУ ТП. Да и общество в целом яснее осознает серьезность проблемы. Два-три года назад вопросам безопасности АСУ ТП посвящались одно-два мероприятия в год, сегодня конференции и форумы по этой теме проводятся почти каждый месяц.
Но в целом направление безопасности АСУ ТП развивается на предприятиях медленнее, чем применяемые в них информационные технологии. В первую очередь, это связано с дополнительными расходами на защиту систем управления и квалификацией работников, ответственных за безопасность. В большинстве организаций ответственные специалисты просто не умеют определить потенциальный ущерб от нарушения информационной безопасности и обосновать перед руководством необходимость внедрения системы информационной безопасности. Для предприятий, у которых в приоритете экономическая выгода, это наиболее серьезная проблема.
— Достаточно ли сейчас на рынке ресурсов, чтобы обеспечить полноценную защиту АСУ ТП, в том числе компетентных специалистов и технических средств защиты?
— Любая система безопасности, будь то федерального уровня, регионального или объектового базируется на трех основах: подготовленных специалистах, средствах защиты информации, нормативной базе. По всем трем направлениям мы наблюдаем поступательное движение.
В части нормативной базы заинтересованными органами и организациями ведется работа по реализации «Основных направлений государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации», утвержденных Президентом Российской Федерации в феврале прошлого года.
Некоторые вузы занялись подготовкой специалистов по безопасности АСУ ТП. С ростом спроса на таких специалистов процесс, я думаю, пойдет активнее. На рынке появляются организации, которые изучают вопрос защиты АСУ ТП, создают у себя профильные направления. Пока таких организаций немного, хотелось бы, чтобы их было больше, тем не менее какую-то часть проблемы они способны закрыть.
Что касается сертифицированных средств защиты, которые могли бы применяться в АСУ ТП, то в этой части сегодня необходимо решить ряд проблем, связанных с использованием средств защиты в системах реального времени. Например, система обнаружения вторжений, будучи установленной в систему управления реального времени, может воспринять управляющую команду как атаку и блокировать трафик. Последствие – остановка технологического процесса. Организации, которые эксплуатируют АСУ ТП, пытаются выходить из положения путем перенастройки подобных средств защиты, но это не всегда получается. Поэтому при разработке требований к средствам защиты информации мы будем учитывать, в том числе, возможности их использования в АСУ ТП. Однако учитывая уникальность систем управления об этом необходимо задумываться, прежде всего, заказчику на этапе задания требований и проектирования системы управления.
— Насколько усложняет задачу защиты АСУ ТП тот факт, что многие из таких систем уникальны, создавались давно и с использованием устаревших языков?
— Проблема безопасности АСУ ТП, создававшихся 20-30 лет назад, конечно, существует, но она не так драматична, как некоторым кажется. Да, на старую систему невозможно поставить современное средство защиты, но и атаку на нее сформировать непросто. Да и степень автоматизации в старых системах минимальна.
Гораздо больше беспокоит уровень защищенности новых систем, которые в значительной степени автоматизированы и где применяются современнее информационные технологии. Мы настаиваем на том, что вопросы защиты АСУ должны решаться на начальной стадии ее создания, еще когда формируется концепция автоматизации производства. Потому что когда АСУ ТП запущена в эксплуатацию, защитить ее уже будет невозможно без остановки производственного цикла. Методические документы ФСТЭК России для того и разработаны, чтобы организации их использовали на начальном этапе, при формировании концепции автоматизации и написании ТЗ. При этом должна быть проведена адаптация приведенных методических документах положений к производственному процессу и автоматизированной системе управления
Руководитель, который придерживается такого подхода, будет для управления критическим процессом выбирать систему, в которой требования безопасности уже реализованы на этапе ее проектирования и будет иметь значительно меньшее количество проблем при эксплуатации такой системы.